AI平台Hugging Face上周公布遭黑,呼吁所有用户重设密码或令牌等登录凭证,以免AI模型等研发成果被不法访问。
Hugging Face安全团队上星期侦测到机器学习应用托管平台Spaces,特别是和Spaces密钥或令牌等相关的机密内容有未经授权的访问活动,相信可能有部分机密资讯已经遭窃。该公司已经注销了多笔包含其中的HF令牌,并发出电子邮件通知受影响的用户。
不过,为安全起见,Hugging Face建议所有用户重设所有密钥或令牌,并考虑将HF令牌改成可细部设置的访问令牌,目前Hugging Face已经将后者设为新的默认验证方式。
Hugging Face强调除了调查此事后续事件,也已经加强Spaces基础架构的安全防护,包括完全移除组织令牌以提升可关注性和审核能力、实例Spaces密钥管理服务、提升系统识别并注销外流令牌的能力等等。该公司计划近日在更新的访问令牌功能更完善一点后,将关闭旧式具读写能力的令牌。该公司也已通报执法机关和数据防护主管机关。
作为全球最热门的平台之一,Hugging Face也是黑客攻击的主要目标。去年底安全企业Lasso披露Hugging Face的API漏洞,让黑客有机会取得知名企业的身份验证资讯,或污染训练数据、窃取、篡改AI模型。二个月前安全厂商Wiz也公布API、推论端点、Spaces的漏洞可让黑客上传恶意模型至Hugging Face平台,进而自远程执行程序代码,或是扩张权限从事不法行为。