Vėlų penktadienio popietę, įmonės paprastai pasilieka laiko langą nepalankiam atskleidimui, AI startuolis Hugging Face teigė, kad jos saugos komanda anksčiau šią savaitę aptiko „neteisėtą prieigą“ prie „Spaces“, „Hugging Face“ platformos, skirtos dirbtinio intelekto modeliams kurti, dalytis ir talpinti.
A tinklaraščio straipsnisHugging Face teigė, kad įsibrovimas, susijęs su „Spaces“ paslaptimis arba privačiomis informacijos dalimis, kurios veikia kaip raktai atrakinti apsaugotus išteklius, pvz., paskyras, įrankius ir kūrėjų aplinkas, ir kad „įtartinai“ kai kurias paslaptis galėjo pasiekti trečioji šalis be leidimo.
Atsargumo sumetimais Hugging Face atšaukė daugybę šiose paslapčių žetonų. (Žetonai naudojami tapatybei patikrinti.) Hugging Face teigia, kad vartotojai, kurių žetonai buvo atšaukti, jau gavo pranešimą el. paštu ir rekomenduoja visiems vartotojams „atnaujinti bet kurį raktą ar žetoną“ ir apsvarstyti galimybę pereiti prie smulkių prieigos žetonų, kuriuos Hugging Pretenzijos į veidą yra saugesnės.
Iš karto nebuvo aišku, kiek vartotojų ar programų paveikė galimas pažeidimas. Norėdami gauti daugiau informacijos, susisiekėme su Hugging Face ir atnaujinsime šį įrašą, jei išgirsime.
„Dirbame su išorės kibernetinio saugumo kriminalistikos specialistais, kad ištirtume problemą, taip pat peržiūrėtume savo saugumo politiką ir procedūras. Apie šį incidentą taip pat pranešėme teisėsaugos institucijoms ir „Data“. [sic] apsaugos institucijos“, – dienoraščio įraše rašė Hugging Face. „Labai apgailestaujame dėl trikdžių, kuriuos galėjo sukelti šis incidentas, ir suprantame nepatogumus, kuriuos jis galėjo jums sukelti. Mes įsipareigojame pasinaudoti šia galimybe sustiprinti visos mūsų infrastruktūros saugumą.
Galimas „Spaces“ įsilaužimas kyla dėl to, kad Hugging Face, kuri yra viena didžiausių dirbtinio intelekto, mašininio mokymosi ir duomenų mokslo platformų, turinti daugiau nei milijoną modelių, duomenų rinkinių ir dirbtinio intelekto valdomų programų, susiduria su vis didesniu saugumo praktikos patikrinimu.
Balandžio mėnesį debesų saugos įmonės Wiz tyrėjai nustatė išnaudoti – kadangi ištaisyta – tai leistų užpuolikams vykdyti savavališką kodą Hugging Face priglobtos programos kūrimo metu, o tai leistų jiems ištirti tinklo ryšius iš savo mašinų. Anksčiau šiais metais saugos įmonė JFrog atidengtas įrodymų, kad į „Hugging Face“ įkeltas kodas slapta įdiegė užpakalines duris ir kitų tipų kenkėjiškas programas galutinio vartotojo įrenginiuose. Saugos paleidimas „HiddenLayer“ nustatė būdus, kaip „Hugging Face“ tariamai saugesnis serializacijos formatas „Safetensors“ sukurti sabotuotus AI modelius.
Apkabinantis Veidas neseniai pasakė kad ji bendradarbiaus su „Wiz“, kad naudotų bendrovės pažeidžiamumo nuskaitymo ir debesų aplinkos konfigūravimo įrankius, „siekdama pagerinti mūsų platformos ir visos AI/ML ekosistemos saugumą“.