共计 924 个字符,预计需要花费 3 分钟才能阅读完成。
上周五下午,通常是公司披露不利消息的时间窗口,人工智能初创公司 Hugging Face 宣布,其安全团队在本周早些时候发现了对 Spaces 平台的“未经授权访问”。Spaces 是 Hugging Face 用于创建、共享和托管人工智能模型和资源的平台。
在官方博客文章中,Hugging Face 明确指出,此次入侵涉及到 Spaces 的秘密,这些秘密是解锁受保护资源(如账户、工具和开发环境)的关键私密信息。公司怀疑一些秘密可能已被未经授权的第三方访问。
作为预防措施,Hugging Face 已撤销了部分秘密中的令牌,这些令牌用于验证身份。公司已通过电子邮件通知了令牌被撤销的用户,并建议所有用户刷新任何密钥或令牌,并考虑切换到细粒度访问令牌,因为这样被认为更安全。
目前,尚不清楚有多少用户或应用程序受到此次潜在侵害的影响。Hugging Face 正在与外部网络安全法医专家合作,调查此问题并审查其安全政策和程序。同时,公司已向执法机构和数据保护机构报告了此事件,并对此可能造成的中断表示遗憾,承诺将利用这次机会加强整个基础设施的安全性。
在一份通过电子邮件发出的声明中,一位 Hugging Face 发言人提到,过去几个月网络攻击数量显著增加,可能与人工智能的日益主流化有关。然而,目前还难以确定有多少 Spaces 的秘密已被泄露。
此次安全事件发生之际,Hugging Face 正面临对其安全实践的日益增加的审查。作为最大的协作人工智能和数据科学项目平台之一,Hugging Face 拥有超过一百万个模型、数据集和 AI 应用程序。
今年四月,云安全公司 Wiz 的研究人员发现了一个已修复的漏洞,该漏洞允许攻击者在 Hugging Face 托管的应用程序构建过程中执行任意代码。此外,安全公司 JFrog 发现了上传到 Hugging Face 的代码在用户端设备上秘密安装了后门和其他类型的恶意软件的证据。安全初创公司 HiddenLayer 也确定了 Hugging Face 明面上更安全的序列化格式 Safetensors 可能会被滥用,用于创建被破坏的 AI 模型。
Hugging Face 最近表示,他们将与 Wiz 合作,使用该公司的漏洞扫描和云环境配置工具,旨在改善平台和整个人工智能 / 机器学习生态系统的安全性。
