Hugging Face, nền tảng được sử dụng rộng rãi để chia sẻ các mẫu máy học máy (ML), đang vật lộn với các mối quan tâm bảo mật sau khi các nhà nghiên cứu xác định phần mềm độc hại được ẩn trong hai mô hình được lưu trữ.
Các tệp độc hại này đã khai thác các lỗ hổng trong định dạng tuần tự hóa python Python Python , cho phép kẻ tấn công thực thi mã có hại trong quá trình tải mô hình. Các phát hiện, được xuất bản bởi >, tiết lộ những điểm yếu quan trọng trong việc ôm các biện pháp bảo mật của khuôn mặt và làm nổi bật các rủi ro rộng hơn của các nền tảng AI mở. hỗ trợ rộng rãi. nó Sự giải phóng làm cho nó vốn dĩ rủi ro. Các mô hình được gắn cờ chứa phần mềm có vỏ đảo ngược được thiết kế để kết nối với các máy chủ từ xa và cho phép kẻ tấn công kiểm soát các hệ thống bị ảnh hưởng. Mặc dù đang sử dụng Face Face, việc sử dụng một công cụ bảo mật có tên Picklescan, các tệp này đã bỏ qua phát hiện. Môi trường hợp tác Hugging Face, tạo điều kiện cho việc chia sẻ bộ dữ liệu, mô hình và mã, đã biến nó thành một nguồn tài nguyên quan trọng cho sự phát triển của AI. Tuy nhiên, sự cởi mở của nó cũng tạo ra các lỗ hổng. được lưu và chia sẻ hiệu quả. Quá trình này, được gọi là tuần tự hóa, cho phép sử dụng lại các mô hình được đào tạo trước mà không cần đào tạo lại chúng từ đầu.
Tuy nhiên, quá trình giải phóng hóa của Pickle, tải dữ liệu trở lại vào bộ nhớ, cũng thực hiện bất kỳ mã python nhúng nào, một tính năng mà kẻ tấn công có thể khai thác để tiêm các tập lệnh độc hại.
theo tài liệu chính thức của Python , có thể xây dựng Dữ liệu Pickle độc hại sẽ thực thi mã tùy ý trong quá trình giải nén. Không bao giờ một dữ liệu không có thể đến từ một nguồn không đáng tin cậy.”/wiki/pytorch”> pytorch . Trên khuôn mặt ôm, nơi người dùng chia sẻ các mô hình nối tiếp một cách tự do, điều này tạo ra một môi trường lý tưởng cho tin tặc và các tác nhân độc hại khác. Các vỏ đảo ngược được nhúng vào các tệp pickle được lưu trữ trên khuôn mặt ôm./github.com/mmaitre314/picklescan”>Picklescan , một máy quét bảo mật phát hiện các tệp Python Pickle thực hiện các hành động đáng ngờ, từ việc phân tích các tệp một cách chính xác, cho phép phần mềm độc hại trốn thoát. Làm thế nào những kẻ tấn công bỏ qua các công cụ bảo mật của Hugging Face
Picklescan xác định các tệp độc hại có khả năng bằng cách gắn cờ các phương thức danh sách đen cụ thể như EVAL hoặc EXEC. Tuy nhiên, các nhà nghiên cứu từ Reverslabs và CheckMarx đã chứng minh rằng các hệ thống phòng thủ này có thể được bỏ qua theo nhiều cách. Ví dụ: những kẻ tấn công đã sử dụng mô-đun gỡ lỗi của Python, bdb.bdb.run , Các hàm nào tương tự như các lệnh được gắn cờ nhưng tránh phát hiện.
Một phương thức khác đã khai thác các giao thức Pickle mới hơn. Bằng cách sử dụng phiên bản giao thức 4, các kẻ tấn công đã tối ưu hóa phương thức gọi theo cách trốn tránh các quy tắc danh sách đen của Picklescan.
Ngoài ra, các nhà nghiên cứu đã chỉ ra rằng các công cụ như Picklescan tập trung vào việc xác thực các tệp trước khi quét chúng để tìm nội dung độc hại. Quá trình này bỏ lỡ các tải trọng được thực hiện sớm được nhúng trong các tệp dưa chuột bị hỏng, một lỗ hổng thiết kế được tô sáng bởi ReversingLabs’thí nghiệm . Báo cáo.
Các nhà nghiên cứu của Checkmarx đã chỉ trích thêm việc sử dụng danh sách đen, lưu ý rằng ngay cả khi tất cả các phương pháp Python đã biết được gắn cờ, những kẻ tấn công có thể chỉ cần chuyển sang các thư viện của bên thứ ba. Asyncio, một mô-đun Python tích hợp cho lập trình không đồng bộ , có thể được vũ khí hóa để vượt qua Picklescan. Một cách tiếp cận danh sách chặn đối với mã hoàn toàn động dưới dạng mô hình ngọn đuốc/dưa chua độc hại cho phép những kẻ tấn công để lại các giải pháp này trong bụi”, các nhà nghiên cứu CheckMarx giải thích trong Ý nghĩa
Để giải quyết các lỗ hổng này, các chuyên gia khuyên bạn nên chuyển từ tuần tự hóa Pickle sang các định dạng an toàn hơn như Safetensors . Thay thế để chia sẻ các mô hình học máy. Hug Face cung cấp nút không an toàn”, gắn cờ các tệp có khả năng gây hại, nhưng các nhà nghiên cứu cảnh báo rằng các công cụ như vậy không thể đảm bảo an toàn. , mà các rủi ro được biết đến, các danh sách cho phép xác định rõ ràng các phương pháp và đối tượng đáng tin cậy, cung cấp một phòng thủ mạnh mẽ hơn./P> Ý nghĩa rộng hơn của những phát hiện này vượt ra ngoài khuôn mặt ôm nhau. Và bảo mật, đầu tư vào các công nghệ có thể thích ứng với các mối đe dọa phát triển. Các lỗ hổng cơ bản của việc tuần tự hóa Pickle, kết hợp với bản chất hợp tác của các nền tảng AI mở, có nghĩa là những kẻ tấn công sẽ tiếp tục tìm thấy các phương pháp khai thác mới.
