YBX YBX logo

ラッソセキュリティの専門知識でサイバー脅威を回避するハギングフェイスの成功

Home AIニュース ラッソセキュリティの専門知識でサイバー脅威を回避するハギングフェイスの成功

Updated on 12月 3 2023

    生成AIモデルの脆弱性を再確認:Lasso Securityの重要な発見

    Lasso Securityは、Hugging Faceを潜在的な大規模攻撃から守るため、1,681の危険にさらされたAPIトークンを発見しました。このトークンは、Lassoの研究者によるGitHubおよびHugging Faceリポジトリの包括的なスキャン中に検出されました。

    調査の結果、MetaやMicrosoft、Googleを含む723の組織のアカウントに不正アクセスがあったことが明らかになりました。その中で、655人のユーザーは書き込み権限を持つトークンを保有し、77人は複数の著名な企業のリポジトリに完全にアクセスできる状態でした。Lassoの研究者は、Bloom、Llama 2、Pythiaリポジトリにもアクセスしており、大規模なサプライチェーン攻撃のリスクが数百万人のユーザーに影響を及ぼす可能性があることを示しています。

    「私たちの調査により、Metaの高プロファイルアカウントにおける重大な侵害が明らかになりました。この状況の深刻さは言うまでもありません。数百万回のダウンロードを誇る組織をコントロールできることで、既存のモデルを悪用し、危険な存在に変えることができます。腐敗したモデルの注入は、これらの基盤に依存する数百万のユーザーに影響を与える恐れがあります。」と、Lassoの研究者は述べています。

    Hugging Face:主要な標的

    Hugging Faceは、大規模な言語モデル(LLM)を開発する組織にとって不可欠な存在となり、そのプラットフォームに依存する開発者は50,000人以上に達しています。Transformersライブラリは50万以上のAIモデルと25万のデータセットをホストしており、LLM開発者やDevOpsチームにとって最も信頼されるリソースです。

    プラットフォームの急速な成長は、Transformersライブラリのオープンソース性に起因しています。協力と知識の共有により、LLMの開発が加速し、成功する展開の可能性が高まります。このため、Hugging Faceは、LLMや生成AIのサプライチェーン脆弱性を悪用したい攻撃者にとって魅力的なターゲットとなっています。

    Lasso Securityの洞察

    2023年11月、Lassoの研究者はHugging FaceのAPIトークンのセキュリティを調査し、潜在的なリスクを明確にしました。次の3つの新たなリスクがOWASP Top 10 for LLMsに関連付けられました。

    1. サプライチェーンの脆弱性:不正なコンポーネントがLLMライフサイクルを損なう可能性があり、特にサードパーティのデータセットや事前学習済みモデルを通じて攻撃されるリスクが指摘されました。

    2. トレーニングデータの汚染:攻撃者は、侵害されたAPIトークンを使用してLLMのトレーニングデータを汚染し、モデルのセキュリティを損なう可能性のある脆弱性や倫理的問題を引き起こす可能性があります。

    3. モデルの盗難:侵害されたAPIトークンは、無許可のアクセスを迅速に可能にし、独自のLLMモデルのコピーまたは流出を助長します。Lassoの調査によれば、2,500のデータセットに関連する10,000以上のプライベートモデルの「盗難」が示唆されており、OWASPカテゴリーの名称を「モデルの盗難」から「AIリソースの盗難(モデル&データセット)」に変更する必要性があることが明らかになりました。

    「この状況の深刻さは決して過小評価できません。」と、Lasso Securityチームは再度強調しました。「数百万回のダウンロードを誇る組織をコントロールできることで、モデルを操作し、ユーザーに重大なリスクを及ぼすことができます。」

    結論:APIトークンはアイデンティティとして扱うべき

    Hugging Faceでの重大な脆弱性は、LLMおよび生成AIプラットフォームを保護するために求められる複雑で進化し続ける対策の必要性を浮き彫りにしています。Lasso Securityのセキュリティ研究者、バー・ラニャド氏は、「Hugging Faceは、常に露出したAPIトークンをスキャンし、それらを無効化するか、影響を受けたユーザーに通知するべきです。」と助言しています。

    GitHubのアプローチに基づき、彼は開発者がハードコーディングされたトークンを使用することを避け、コミット時の偶発的な露出を防ぐためのベストプラクティスを採用するよう促しています。ゼロトラストモデルを強調する中で、Hugging FaceはAPIトークンがユニークであり、多要素認証を使用し、ライフサイクル管理と自動的なアイデンティティ検証に注力する必要があります。

    今日のゼロトラスト環境では、より高い警戒心だけでは不十分です。APIトークンの継続的な管理は、多くの主導的なテクノロジー企業が育むLLMエコシステムのセキュリティにとって重要です。Hugging Faceの事件が示すように、姿勢管理を実装し、APIトークンレベルで厳格なアクセス制御を維持することは、組織全体のセキュリティを強化するための不可欠なステップです。すべての組織は、潜在的な侵害から守るための積極的な姿勢を採用し、すべての攻撃ベクトルでのセキュリティを強化する必要があります。

    Runway MLとGetty Imagesが提携、新しいAIビデオモデルを開発 - ハリウッドと広告の革新を促進
    AIの革新の年を振り返る:重要なマイルストーンと洞察

    Most people like

    By the Numbers-Shopify Analytics
    15.5K
    Shopifyビジネスを強化するための重要な戦略を発見し、成長を促進する貴重なインサイトを解き放ちましょう。
    Shopify分析 AI Analytics Assistant
    MaxAI.me
    9M
    どこにいても、ワンクリックでAIを解放。
    AI Large Language Models (LLMs)
    GPTonline.ai
    515.9K
    高度なAIの力を解き放とう。ChatGPTはあなたの無料チャットボットソリューションです。ダイナミックな会話を楽しみ、最先端の技術を無料で体験してください!
    AIチャットボット Translate
    Brainboard
    62.7K
    今日のデジタル環境において、強力なクラウドインフラの需要は急速に高まっています。当社のクラウドインフラ設計のためのAIプラットフォームは、進化したアルゴリズムを活用して開発プロセスを効率化し、企業がスケーラブルで効率的、かつ安全なクラウドソリューションを構築できるよう支援します。人工知能を活用することで、組織はインフラを最適化し、コストを削減し、パフォーマンスを向上させることが可能となり、競争の激しい市場でリードを保つことができます。私たちのAI駆動のアプローチが、未来のクラウド戦略をどのように変革できるかをご覧ください。
    クラウドインフラストラクチャ AI Website Designer

    Find AI tools in YBX

    Related Articles
    Refresh Articles