Siber güvenlik araştırmacıları, Hugging Face Safetensors dönüştürme hizmetinin tehlikeye atılarak kullanıcılar tarafından gönderilen modellerin ele geçirilmesinin ve tedarik zinciri saldırılarına yol açmasının mümkün olduğunu buldu.
HiddenLayer, “Hugging Face hizmetinden saldırgan tarafından kontrol edilen verilerle platformdaki herhangi bir depoya kötü niyetli çekme istekleri göndermek ve ayrıca dönüştürme hizmeti aracılığıyla gönderilen herhangi bir modeli ele geçirmek mümkün.” söz konusu Geçen hafta yayınlanan bir raporda.
Bu da, hizmet tarafından dönüştürülmesi amaçlanan ele geçirilmiş bir model kullanılarak gerçekleştirilebilir, böylece kötü niyetli aktörlerin, dönüşüm botu kılığına girerek platformdaki herhangi bir depoda değişiklik talep etmelerine olanak sağlanır.
Hugging Face, kullanıcıların önceden eğitilmiş makine öğrenimi modellerini ve veri kümelerini barındırmasının yanı sıra bunları oluşturmasına, dağıtmasına ve eğitmesine yardımcı olan popüler bir işbirliği platformudur.
Safetensörler bir biçim depolamak için şirket tarafından tasarlandı tensörler turşu yerine güvenliği akılda tutmak muhtemelen silahlandırılmış Tehdit aktörleri tarafından keyfi kod yürütmek ve Cobalt Strike, Mythic ve Metasploit sahneleyicilerini dağıtmak için.
Aynı zamanda bir dönüştürme hizmeti kullanıcıların herhangi bir PyTorch modelini dönüştürmesine olanak tanır (ör. turşu) bir çekme isteği yoluyla Safetensor eşdeğerine.
HiddenLayer’ın bu modüle ilişkin analizi, bir saldırganın, kötü amaçlı bir PyTorch ikili programı kullanarak barındırılan dönüştürme hizmetini ele geçirmesinin ve onu barındıran sistemin güvenliğini tehlikeye atmasının varsayımsal olarak mümkün olduğunu buldu.
Dahası, ilişkili jeton SFConvertbot Çekme isteği oluşturmak için tasarlanmış resmi bir bot, sitedeki herhangi bir depoya kötü niyetli bir çekme isteği göndermek üzere sızdırılabilir ve bu da bir tehdit aktörünün modeli kurcalayabileceği ve sinirsel arka kapılar yerleştirebileceği bir senaryoya yol açabilir.
Araştırmacılar Eoin Wickens ve Kasimir Schulz, “Bir saldırgan, birisi modelini dönüştürmeye çalıştığında herhangi bir rastgele kodu çalıştırabilir” dedi. “Kullanıcıya herhangi bir belirti olmadan, modelleri dönüşüm sırasında ele geçirilebilir.”
Bir kullanıcının kendi özel deposunu dönüştürmeye çalışması durumunda, saldırı Hugging Face tokeninin çalınmasına, dahili modellere ve veri kümelerine erişmesine ve hatta bunları zehirlemesine yol açabilir.
İşleri daha da karmaşık hale getiren bir saldırgan, herhangi bir kullanıcının, yaygın olarak kullanılan bir modeli ele geçirmek veya değiştirmek için halka açık bir depoya dönüştürme isteği gönderebilmesinden yararlanabilir ve bu da potansiyel olarak önemli bir tedarik zinciri riskine yol açabilir.
Araştırmacılar, “Hugging Face ekosistemindeki makine öğrenimi modellerini güvence altına almaya yönelik en iyi niyete rağmen, dönüştürme hizmetinin savunmasız olduğu kanıtlandı ve Hugging Face resmi hizmeti aracılığıyla yaygın bir tedarik zinciri saldırısına neden olma potansiyeline sahip oldu” dedi.
“Bir saldırgan, hizmeti çalıştıran konteynere bir yer edinebilir ve hizmet tarafından dönüştürülen herhangi bir modeli tehlikeye atabilir.”
Bu gelişme, Trail of Bits’in LeftoverLocals’ı açıklamasından bir aydan biraz daha uzun bir süre sonra gerçekleşti (CVE-2023-4969CVSS puanı: 6,5), Apple, Qualcomm, AMD ve Imagination genel amaçlı grafik işleme birimlerinden (GPGPU’lar) verilerin kurtarılmasına olanak sağlayan bir güvenlik açığı.
bellek sızıntısı kusuruİşlem belleğinin yeterince yalıtılmamasından kaynaklanan bir hata, yerel bir saldırganın, başka bir kullanıcının büyük bir dil modeli (LLM) ile etkileşimli oturumu da dahil olmak üzere diğer işlemlerden belleği okumasına olanak tanır.
Güvenlik araştırmacıları Tyler Sorensen ve Heidy Khlaaf, “Bu veri sızıntısı, özellikle yerel belleğin model girişlerini, çıkışlarını ve ağırlıklarını depolamak için kullanıldığı ML sistemlerinin yükselişi göz önüne alındığında, ciddi güvenlik sonuçlarına yol açabilir.” söz konusu.