共计 943 个字符,预计需要花费 3 分钟才能阅读完成。
在周五下午,人工智能初创公司 Hugging Face 宣布,其安全团队在本周早些时候发现了对 Spaces 平台的未经授权访问。Spaces 是 Hugging Face 的一个平台,用于创建、分享和托管人工智能模型和资源。
根据 Hugging Face 在 [博客文章](https://huggingface.co/blog/space-secrets-disclosure) 中的描述,此次入侵涉及到了 Spaces 的秘密,这些秘密是解锁受保护资源如账户、工具和开发环境的关键私人信息。公司怀疑一些秘密可能已被未经授权的第三方访问。
为了预防进一步的风险,Hugging Face 已经撤销了部分令牌,这些令牌用于验证用户身份。公司已通过电子邮件通知了受影响的用户,并建议所有用户更新任何密钥或令牌,并考虑使用更安全的细粒度访问令牌。
目前,尚不清楚有多少用户或应用程序受到了此次潜在漏洞的影响。Hugging Face 正在与外部网络安全法医专家合作,调查此问题,并审查其安全政策和程序。同时,公司已向执法机构和数据保护机构报告了此事件,并承诺将利用此次事件加强其整个基础设施的安全性。
Hugging Face 的发言人通过电子邮件向 TechCrunch 表示,过去几个月中,网络攻击数量显著增加,可能与公司使用量的增长和人工智能的主流化有关。确定有多少 Spaces 秘密已经泄露在技术上存在难度。
此次事件发生之际,Hugging Face 正面临着对其安全实践的日益增多的审查。作为最大的协作人工智能和数据科学项目平台之一,Hugging Face 拥有超过一百万个模型、数据集和人工智能应用。
今年四月,云安全公司 Wiz 的研究人员发现了一个关键漏洞(已修复),该漏洞允许攻击者在 Hugging Face 托管的应用程序构建过程中执行任意代码。今年早些时候,安全公司 JFrog 发现了证据,显示上传到 Hugging Face 的代码在用户设备上秘密安装了后门和其他恶意软件。此外,安全初创公司 HiddenLayer 指出,Hugging Face 的 Safetensors 序列化格式可能被滥用以创建被破坏的人工智能模型。
Hugging Face 最近宣布将与 Wiz 合作,使用该公司的漏洞扫描和云环境配置工具,以改善其平台和整个 AI/ML 生态系统的安全性。
