Cuma öğleden sonra, şirketlerin genellikle hoş olmayan açıklamalara ayırdığı bir zaman aralığı olan AI startupı Hugging Face, güvenlik ekibinin bu hafta başlarında Hugging Face’in AI modelleri ve kaynakları oluşturma, paylaşma ve barındırma platformu Spaces’a “yetkisiz erişim” tespit ettiğini söyledi.
İçinde Blog yazısıHugging Face, Spaces’ın sırlarıyla veya hesaplar, araçlar ve geliştirme ortamları gibi korunan kaynakların kilidini açmak için anahtar görevi gören özel bilgi parçalarıyla ilgili izinsiz girişin, bazı sırlara bir başkası tarafından erişilmiş olabileceğine dair “şüpheleri” olduğunu söyledi. yetkisiz üçüncü taraf.
Hugging Face, önlem olarak bu sırlardaki bazı tokenları iptal etti. (Jetonlar kimlikleri doğrulamak için kullanılıyor.) Hugging Face, jetonları iptal edilen kullanıcıların zaten bir e-posta bildirimi aldığını söylüyor ve tüm kullanıcılara “herhangi bir anahtarı veya jetonu yenilemelerini” ve Hugging’in de belirttiği gibi ayrıntılı erişim jetonlarına geçmeyi düşünmelerini tavsiye ediyor. Yüz iddiaları daha güvenlidir.
Potansiyel ihlalden kaç kullanıcının veya uygulamanın etkilendiği hemen belli olmadı.
“Sorunu araştırmak ve güvenlik politikalarımızı ve prosedürlerimizi gözden geçirmek için dışarıdan siber güvenlik adli tıp uzmanlarıyla çalışıyoruz. Bu olayı kolluk kuvvetlerine ve Data’ya da bildirdik. [sic] koruma yetkilileri,” Hugging Face gönderide yazdı. “Bu olayın yol açmış olabileceği aksaklıktan derin üzüntü duyuyoruz ve bunun sizin için yaratmış olabileceği rahatsızlığı anlıyoruz. Bunu tüm altyapımızın güvenliğini güçlendirmek için bir fırsat olarak kullanacağımıza söz veriyoruz.”
Hugging Face sözcüsü, e-postayla gönderilen bir açıklamada TechCrunch’a şunları söyledi:
“Son birkaç ayda siber saldırıların sayısının önemli ölçüde arttığını görüyoruz, bunun nedeni muhtemelen kullanımımızın önemli ölçüde artması ve yapay zekanın daha yaygın hale gelmesi. Kaç tane uzay sırrının ele geçirildiğini bilmek teknik olarak zor.”
Spaces’ın olası hacklenmesi, bir milyondan fazla model, veri seti ve yapay zeka destekli uygulamalarla işbirlikçi yapay zeka ve veri bilimi projeleri için en büyük platformlar arasında yer alan Hugging Face’in güvenlik uygulamaları konusunda artan incelemelerle karşı karşıya kalmasıyla birlikte geliyor.
Nisan ayında, bulut güvenlik firması Wiz’deki araştırmacılar bir güvenlik açığı Düzeltildiğinden bu yana bu durum, saldırganların Hugging Face tarafından barındırılan bir uygulamanın yapım süresi boyunca makinelerinden ağ bağlantılarını incelemelerine olanak tanıyan rastgele kod yürütmesine olanak tanıyor. Yılın başlarında güvenlik firması JFrog açıkta Hugging Face’e yüklenen kodun, son kullanıcı makinelerine gizlice arka kapılar ve diğer kötü amaçlı yazılım türlerini yüklediğine dair kanıt. Güvenlik girişimi HiddenLayer, Hugging Face’in görünüşte daha güvenli serileştirme formatı Safetensors’ın nasıl geliştirilebileceğini belirledi. istismar edilmiş sabote edilmiş yapay zeka modelleri oluşturmak.
Sarılma Yüz yakın zamanda söylendi Şirketin güvenlik açığı tarama ve bulut ortamı yapılandırma araçlarını “platformumuzda ve genel olarak AI/ML ekosisteminde güvenliği artırmak amacıyla” kullanmak için Wiz ile ortaklık kuracağını söyledi.
