Abraçando o rosto, a plataforma amplamente usada para compartilhar modelos de aprendizado de máquina (ML), está lidando com preocupações de segurança depois que os pesquisadores identificaram malware oculto em dois modelos hospedados.
Esses arquivos maliciosos exploraram vulnerabilidades em o formato de serialização de picles de Python , permitindo que os atacantes executem o código prejudicial durante o processo de carregamento de modelo. As descobertas, publicadas por revertendolabs , revelam fraquezas críticas em abraçar as medidas de segurança do rosto e destacar os riscos mais amplos de plataformas de IA abertas. suporta extensivamente.
No entanto, sua capacidade de executar o código incorporado durante A desserialização torna inerentemente arriscado. Os modelos sinalizados continham conchas reversas-malware projetado para se conectar a servidores remotos e permitir que os atacantes controlem os sistemas afetados. Apesar de abraçar o uso de uma ferramenta de segurança pelo rosto chamado Picklescan, esses arquivos ignoraram a detecção. Abraçar o ambiente colaborativo do rosto, que facilita o compartilhamento de conjuntos de dados, modelos e código, o tornou um recurso crítico para o desenvolvimento da IA. No entanto, sua abertura também cria vulnerabilidades. ser salvo e compartilhado com eficiência. Esse processo, conhecido como serialização, torna possível reutilizar modelos pré-treinados sem recorrer-los do zero.
No entanto, o processo de desserialização de Pickle, que carrega os dados de volta na memória, também executa qualquer código python incorporado-um recurso que os invasores podem explorar para injetar scripts maliciosos.
De acordo com documentação oficial de Python ,”É possível construir Dados de picles maliciosos que executarão o código arbitrário durante a Unpickling. Nunca descompacte dados que poderiam ter vindo de uma fonte não confiável.”
Apesar desse aviso, o picles permanece popular devido à sua simplicidade e compatibilidade com estruturas como pytorch . Ao abraçar o rosto, onde os usuários compartilham modelos serializados livremente, isso cria um ambiente ideal para hackers e outros atores maliciosos.
No caso descoberto por reverterlabs, atacantes Os shells reversos incorporados nos arquivos de picles hospedados no rosto de abraço./github.com/Mmaitre314/picklescan”>picklescan , um scanner de segurança que detecta arquivos de picles em python executando ações suspeitas, da análise dos arquivos corretamente, permitindo que o malware evite detecção.
Como os atacantes ignoraram as ferramentas de segurança do rosto de abraço
Picklescan identifica arquivos potencialmente maliciosos, sinalizando métodos específicos da lista negra como avaliar ou exec. No entanto, pesquisadores de revertendolabs e checkmarx demonstrou que essas defesas podem ser ignoradas de várias maneiras. Por exemplo, os atacantes usaram o módulo de depuração de Python, bdb.bdb.run , que funciona de maneira semelhante aos comandos sinalizados, mas evitou a detecção.
Outro método explorou protocolos mais recentes de pickle. Ao usar o protocolo versão 4, os invasores otimizaram chamadas de uma maneira que evitou as regras da lista negra de Picklescan.
Além disso, os pesquisadores apontaram que ferramentas como Picklescan se concentram na validação de arquivos antes de examiná-los em busca de conteúdo malicioso. Esse processo erra cargas úteis com precisão incorporada em arquivos de picles corrompidos, uma falha de design destacada por ReversingLabs’Experimentos . Relatório.
Os pesquisadores da CheckMarx criticaram ainda mais o uso de listas negras, observando que, mesmo que todos os métodos python conhecidos fossem sinalizados, os atacantes poderiam simplesmente recorrer a bibliotecas de terceiros. A href=”https://docs.python.org/3/library/asyncio.html”> Asycio, um módulo Python embutido para programação assíncrona , poderia ser armada para contornar os picklescancanos.”Uma abordagem de lista de blocos para código completamente dinâmico na forma de modelos de tocha/picles maliciosos permite que os atacantes deixem essas soluções no pó”, explicou os pesquisadores de checkmarx em seus Postagem do blog .
soluções e indústria Implicações
Para abordar essas vulnerabilidades, os especialistas recomendam a transição da serialização em picles para formatos mais seguros como Seguretensores . Alternativa para compartilhar modelos de aprendizado de máquina.
Os desenvolvedores também são incentivados a revisar modelos de código suplementar que acompanham e evitar configurações que permitem a execução do código remoto, como Trust_remote_code. Abraçar o rosto fornece um botão”inseguro”, que sinaliza arquivos potencialmente prejudiciais, mas os pesquisadores alertam que essas ferramentas por si só não podem garantir a segurança. , que sinalizam riscos conhecidos, as listas de permissões definem explicitamente métodos e objetos confiáveis, oferecendo uma defesa mais robusta./P>
As implicações mais amplas dessas descobertas se estendem além do rosto de abraçar. e segurança, investindo em tecnologias que podem se adaptar às ameaças em evolução. As vulnerabilidades fundamentais da serialização de picles, combinadas com a natureza colaborativa das plataformas de IA abertas, significam que os atacantes continuarão a encontrar novos métodos de exploração.
