共计 949 个字符,预计需要花费 3 分钟才能阅读完成。
周五晚上,通常是公司公布不利信息的时间段,AI 初创公司 Hugging Face 表示,本周早些时候其安全团队检测到了 Spaces 平台的“未经授权访问”。Spaces 是 Hugging Face 用于创建、共享和托管 AI 模型和资源的平台。
Hugging Face 在一篇 博客文章 中透露,此次入侵涉及 Spaces secrets,这些是用于解锁受保护资源(如账户、工具和开发环境)的密钥的私人信息。公司怀疑一些秘密可能已被未经授权的第三方访问。
作为预防措施,Hugging Face 已经撤销了部分令牌(令牌用于验证身份)。受影响的用户已通过电子邮件得到通知,并被建议“刷新任何密钥或令牌”并考虑切换到更安全的细粒度访问令牌。
目前,尚不清楚此次安全事件影响了多少用户或应用程序。Hugging Face 正在与外部网络安全调查专家合作,调查此问题,并审查其安全政策和程序。同时,公司已向执法机构和数据保护机构报告了此事件。
Hugging Face 在声明中表示:“我们非常遗憾此事件可能会造成的干扰,并理解可能给您带来的不便。我们承诺利用这个机会来加强我们整个基础设施的安全。”
在一份电子邮件声明中,Hugging Face 的一位发言人告诉 TechCrunch:“在过去几个月中,我们看到了网络攻击数量的显著增加,可能是因为我们的使用率大大增加,而且 AI 正在变得更加主流。从技术上讲,很难知道有多少 Spaces secrets 已经被泄漏。”
Spaces 平台可能遭遇的黑客攻击,使得 Hugging Face 这个拥有超过一百万个模型、数据集和基于 AI 技术的应用程序的平台,正面临着越来越多的关于其安全实践的审查。
今年 4 月,云安全公司 Wiz 的研究人员发现了一个漏洞(已经修复),允许攻击者在 Hugging Face 托管的应用程序构建时执行任意代码。在今年早些时候,安全公司 JFrog 发现,上传到 Hugging Face 的代码秘密地在最终用户计算机上安装了后门和其他类型的恶意软件。安全创业公司 HiddenLayer 确定,Hugging Face 表面上更安全的序列化格式 Safetensors 可能会被滥用,从而创建被破坏的 AI 模型。
Hugging Face 最近表示,他们将与 Wiz 合作,使用该公司的漏洞扫描和云环境配置工具,旨在进一步提升平台的安全性。
