共计 837 个字符,预计需要花费 3 分钟才能阅读完成。
周五下午晚些时候,通常是公司披露不利信息的时间窗口,人工智能初创公司 Hugging Face 宣布,其安全团队在本周早些时候发现了对 Spaces 平台的“未经授权访问”。Spaces 是 Hugging Face 用于创建、共享和托管人工智能模型和资源的重要平台。
在官方博文中,Hugging Face 指出,此次入侵与 Spaces 的秘密有关,这些秘密是用于解锁受保护资源(如账户、工具和开发环境)的关键信息。公司怀疑部分秘密可能已被第三方未经授权访问。
为防止进一步的风险,Hugging Face 已撤销了部分秘密中的令牌。令牌是一种用于验证用户身份的安全措施。已受影响的用户已通过电子邮件得到通知,并被建议刷新所有密钥或令牌,以及考虑使用更安全的细粒度访问令牌。
目前,Hugging Face 尚不清楚具体有多少用户或应用程序受到此次漏洞的影响。公司正在与外部网络安全专家合作,深入调查此事件,并审查其安全政策和程序。同时,Hugging Face 已向执法机构和数据保护机构报告了此事件,并承诺将利用此次机会加强其整个基础设施的安全性。
Hugging Face 的发言人表示,近期网络攻击的增加可能与公司使用量的显著增长及人工智能的主流化有关。尽管如此,目前仍难以确定有多少 Spaces 秘密已被泄露。
此次事件发生的同时,Hugging Face 正面临对其安全实践的日益严格的审查。作为全球最大的协作人工智能和数据科学项目平台之一,Hugging Face 拥有超过一百万个模型、数据集和 AI 应用程序。
今年早些时候,云安全公司 Wiz 和安全公司 JFrog 分别发现了 Hugging Face 平台上的安全漏洞,这些漏洞已得到修复。此外,安全初创公司 HiddenLayer 也指出,Hugging Face 的序列化格式 Safetensors 可能被滥用以创建被破坏的 AI 模型。
为了提升平台安全性,Hugging Face 最近宣布将与 Wiz 合作,利用其漏洞扫描和云环境配置工具,以增强平台和整个人工智能 / 机器学习生态系统的安全性。
