Die Schwachstellen von generativen KI-Modellen und deren Plattformen wurden durch die Arbeit von Lasso Security weiter verifiziert. Das Unternehmen half Hugging Face, einen potenziell katastrophalen Angriff zu verhindern, indem es 1.681 gefährdete API-Tokens entdeckte. Diese Tokens wurden während eines umfassenden Scans von GitHub- und Hugging Face-Repositories durch Lasso-Forscher identifiziert.
Die Untersuchung offenbarte unbefugten Zugriff auf Konten von 723 Organisationen, darunter große Unternehmen wie Meta, Microsoft und Google. Von diesen hatten 655 Benutzer Tokens mit Schreibberechtigungen, 77 gewährten vollständige Kontrolle über Repositories mehrerer namhafter Firmen. Außerdem hatten die Lasso-Forscher Zugang zu den Repositories von Bloom, Llama 2 und Pythia, was auf ein erhebliches Risiko von Lieferkettenangriffen hinweist, die potenziell Millionen von Nutzern betreffen könnten.
„Unsere Untersuchung deckte einen ernsthaften Bruch in der Infrastruktur der Lieferkette auf, insbesondere in Bezug auf hochrangige Konten von Meta“, betonte das Lasso-Forscherteam. „Das Ausmaß der Situation kann nicht genug betont werden. Mit der Kontrolle über eine Organisation mit Millionen von Downloads können wir bestehende Modelle manipulieren und in bösartige Entitäten verwandeln. Dies stellt eine gravierende Bedrohung dar, da die Einspeisung von korrupten Modellen Millionen von Nutzern schaden könnte, die auf diese Grundlagen für ihre Anwendungen angewiesen sind.“
Hugging Face: Ein Hauptziel
Hugging Face ist für Organisationen, die große Sprachmodelle (LLMs) entwickeln, von entscheidender Bedeutung, wobei über 50.000 Plattformnutzer in ihren DevOps-Bemühungen auf Hugging Face angewiesen sind. Die Transformers-Bibliothek beherbergt mehr als 500.000 KI-Modelle und 250.000 Datensätze und ist die bevorzugte Ressource für Entwickler von LLMs und DevOps-Teams.
Das rasche Wachstum der Plattform wird größtenteils der Open-Source-Natur ihrer Transformers-Bibliothek zugeschrieben. Zusammenarbeit und Wissensaustausch innerhalb dieses Ökosystems beschleunigen die Entwicklung von LLMs und erhöhen die Erfolgswahrscheinlichkeit bei Implementierungen. Dies macht Hugging Face zu einem attraktiven Ziel für Angreifer, die versuchen, Schwachstellen in der LLM- und generativen KI-Lieferkette auszunutzen oder Trainingsdaten zu exfiltrieren.
Einblicke von Lasso Security
Im November 2023 untersuchten die Lasso-Forscher die Sicherheit von API-Tokens bei Hugging Face, um potenzielle Expositionsrisiken besser zu verstehen. Sie identifizierten drei aufkommende Risiken, die mit den OWASP Top 10 für große Sprachmodelle (LLMs) in Einklang stehen:
1. Lieferkettenanfälligkeiten: Die Forschung zeigte, wie unsichere Komponenten den Lebenszyklus von LLMs gefährden könnten, insbesondere durch Drittanbieter-Datensätze und vortrainierte Modelle.
2. Vergiftung von Trainingsdaten: Angreifer könnten das Trainingsmaterial von LLMs durch kompromittierte API-Tokens vergiften und so Schwachstellen oder ethische Bedenken einführen, die die Sicherheit der Modelle untergraben.
3. Modeldiebstahl: Kompromittierte API-Tokens ermöglichen den unbefugten Zugriff und erleichtern das Kopieren oder die Exfiltration von proprietären LLM-Modellen. Lassos Untersuchung deutete auf einen möglichen „Diebstahl“ von über 10.000 privaten Modellen in Verbindung mit 2.500 Datensätzen hin, was eine Umbenennung der OWASP-Kategorie von „Modeldiebstahl“ in „Diebstahl von KI-Ressourcen (Modelle & Datensätze)“ rechtfertigt.
„Das Ausmaß der Situation kann nicht genug betont werden“, wiederholte das Lasso Security-Team. „Mit der Kontrolle über Organisationen mit Millionen von Downloads können wir Modelle manipulieren, was erhebliche Risiken für die Benutzer darstellt.“
Fazit: API-Tokens als Identitäten behandeln
Das Risiko eines bedeutenden Sicherheitsvorfalls bei Hugging Face verdeutlicht die komplexen und sich entwickelnden Praktiken, die erforderlich sind, um LLM- und generative KI-Plattformen zu schützen. Bar Lanyado, ein Sicherheitsforscher bei Lasso Security, riet: „Hugging Face sollte regelmäßig nach exponierten API-Tokens suchen und entweder diese entziehen oder betroffene Nutzer benachrichtigen.“
Er ermutigt Entwickler, sich an den Ansatz von GitHub zu halten, und empfiehlt, hardcodierte Tokens zu vermeiden sowie Best Practices zu implementieren, um unbeabsichtigte Exposition während von Commits zu verhindern. Mit einem Fokus auf ein Zero-Trust-Modell sollte Hugging Face sicherstellen, dass API-Tokens einzigartig sind, Mehrfaktorauthentifizierung nutzen und den Schwerpunkt auf Lifecycle-Management und automatisierte Identitätsvalidierung legen.
In der heutigen Zero-Trust-Umgebung ist erhöhte Wachsamkeit allein nicht ausreichend. Das fortlaufende Management von API-Tokens ist entscheidend für die Sicherheit der LLM-Ökosysteme führender Technologieunternehmen. Wie der Vorfall bei Hugging Face zeigt, sind die Implementierung von Sicherheitsmanagement und strikte Zugriffskontrolle auf API-Token-Ebene wesentliche Schritte zur Stärkung der gesamten organisatorischen Sicherheit. Jede Organisation muss eine proaktive Haltung einnehmen, um sich gegen potenzielle Sicherheitsvorfälle zu wappnen und die Sicherheit in allen Angriffsvektoren zu verstärken.
Rangliste
