共计 896 个字符,预计需要花费 3 分钟才能阅读完成。
星期五下午晚些时候,通常被公司用来发布负面消息的时间段,人工智能创业公司 Hugging Face 表示,该公司的安全团队本周早些时候发现了对 Spaces 的未经授权访问。Spaces 是 Hugging Face 平台用于创建、共享和托管人工智能模型和资源的地方。
在一篇博客文章中,Hugging Face 表示,这次入侵与 Spaces 的秘密相关,即作为解锁受保护资源(如账户、工具和开发环境)的关键私密信息,该公司“怀疑”一些秘密可能已被未经授权的第三方访问。
为了预防起见,Hugging Face 已撤销了这些秘密中的一些令牌(令牌用于验证身份)。Hugging Face 表示,已撤销令牌的用户已收到电子邮件通知,并建议所有用户“刷新任何秘钥或令牌”,并考虑切换到更安全的细粒度访问令牌。
目前尚不清楚有多少用户或应用受到了潜在的数据泄露影响。
Hugging Face 在博客文章中表示:“我们正在与外部网络安全法医专家合作,对这个问题进行调查,并审查我们的安全政策和程序。我们还向执法机构和数据保护机构报告了此次事件。”“我们对此事件可能引起的中断表示深深的遗憾,并理解可能给您带来的不便。我们承诺将把这次事件作为加强我们整个基础架构安全性的机遇。”
Hugging Face 成为最大的协作人工智能和数据科学项目平台之一,拥有超过一百万个模型、数据集和基于人工智能的应用程序的平台。因此,它面临着越来越多关于其安全实践的审查。
今年 4 月,云安全公司 Wiz 的研究人员发现了一个漏洞(已修复),使攻击者可以在 Hugging Face 托管的应用程序构建期间执行任意代码,让他们可以检查来自自己机器的网络连接。今年早些时候,安全公司 JFrog 发现 Hugging Face 上传的代码秘密地在最终用户的设备上安装了后门和其他类型的恶意软件。安全初创公司 HiddenLayer 发现 Hugging Face 所声称的更安全的序列化格式 Safetensors 可以被用来滥用,创建被破坏的人工智能模型。
Hugging Face 最近表示,将与 Wiz 合作,使用该公司的漏洞扫描和云环境配置工具,“旨在提高我们平台和整个人工智能 / 机器学习生态系统的安全性”。
