YBX YBX logo

得益于Lasso Security的专业知识,Hugging Face有效防御网络威胁

Home AI News CN 得益于Lasso Security的专业知识,Hugging Face有效防御网络威胁

Updated on 十二月 3 2023

    进一步验证生成性人工智能模型及其平台的脆弱性,Lasso Security帮助Hugging Face避免了一次潜在的严重攻击,发现了1681个存在风险的API令牌。这些令牌是在Lasso研究人员对GitHub和Hugging Face代码库进行的全面扫描中检测到的。

    调查显示723个组织的账户遭到未经授权的访问,其中包括Meta、Microsoft和Google等大型公司。发现中,有655名用户的令牌具有写入权限,77个令牌则完全控制了几家知名公司的代码库。Lasso研究人员还访问了Bloom、Llama 2和Pythia代码库,显示出可能影响数百万用户的供应链攻击的重大风险。

    Lasso研究人员表示:“我们此次调查揭示了供应链基础设施的严重漏洞,涉及Meta等高知名度的账户。情况的严重性不容小觑。如果能够控制一个拥有数百万下载量的组织,我们就能操纵现有模型,使其变成恶意实体。这对依赖这些基础设施的数百万用户构成了严重威胁,因为注入已损坏的模型可能会对他们的应用产生影响。”

    Hugging Face:主要目标

    Hugging Face已成为开发大型语言模型(LLMs)的组织的重要平台,超过5万家依赖其平台进行DevOps工作。其Transformers库托管了超过50万个AI模型和25万个数据集,成为LLM开发者和DevOps团队的首选资源。

    该平台的快速发展主要归功于其Transformers库的开源特性。该生态系统内的合作与知识共享加速了LLM的开发,提高了成功部署的可能性。因此,Hugging Face成为攻击者的诱人目标,他们试图利用LLM和生成性AI供应链的脆弱性或窃取训练数据。

    Lasso Security的洞察

    2023年11月,Lasso研究人员深入探讨了Hugging Face的API令牌安全性,旨在更好地理解潜在的暴露风险。他们识别出了与OWASP大型语言模型(LLMs)十大风险相关的三种新兴风险:

    1. 供应链脆弱性:研究显示,不安全的组件可能会妨碍LLM的生命周期,使系统暴露于攻击之中,尤其是通过第三方数据集和预训练模型。

    2. 训练数据污染:攻击者可以使用受损的API令牌使LLM训练数据污染,带来可能削弱模型安全的漏洞或伦理问题。

    3. 模型盗取:受损的API令牌迅速使未经授权的访问成为可能,促进专有LLM模型的复制或窃取。Lasso的研究表明,可能有超过1万个与2500个数据集相关的私有模型被“盗取”,因此将OWASP分类重新命名为“AI资源盗取(模型与数据集)”是有必要的。

    Lasso Security团队强调:“情况的严重性不容小觑。如果我们能够控制一个拥有数百万下载量的组织,我们就能操纵模型,给用户带来重大风险。”

    结论:将API令牌视为身份

    Hugging Face面临的重大泄露风险凸显了保护LLM和生成性人工智能平台所需复杂而不断演化的实践。Lasso Security的安全研究员Bar Lanyado建议:“Hugging Face应定期扫描暴露的API令牌,并及时吊销或通知受影响的用户。”

    他借鉴GitHub的方法,鼓励开发者避免硬编码令牌,并采取最佳实践以防止在提交时无意暴露。强调零信任模型,Hugging Face应确保API令牌的唯一性,使用多因素身份验证,并关注生命周期管理和自动化身份验证。

    在当今的零信任环境中,仅仅依靠更高的警惕性是不够的。持续管理API令牌对于由众多顶级科技公司培育的LLM生态系统的安全至关重要。正如Hugging Face的事件所示,在API令牌层面实施态势管理和严格访问控制,是加强整体组织安全的重要步骤。每个组织都必须采用主动的思维方式,以保护自己免受潜在泄露,并在所有攻击向量上增强安全性。

    Runway ML与Getty Images合作开发新AI视频模型,助力好莱坞与广告行业创新
    人工智能的变革之年:关键里程碑与深刻见解

    Most people like

    LongShot AI
    71.8K
    引入一款全能的AI平台,旨在满足您所有内容创作需求。无论是撰写文章、生成图像还是优化社交媒体内容,我们的AI工具都能高效地提升您的创意表现和工作效率。探索这个集成化解决方案,助您轻松应对内容创作的各个挑战,提升您的品牌影响力。
    人工智能平台 写作助手
    SuperStudentAI
    13K
    AI学习助手是一款智能工具,旨在帮助用户整理学习资料并创建测验。它通过分析用户的学习内容,提高学习效率,增强知识掌握。无论是学生还是自学者,AI学习助手都能提供个性化的学习支持。
    AI学习助手 AI教育助手
    IDScan.net
    42.9K
    人工智能驱动的年龄与身份验证技术正迅速改变我们在数字环境中验证身份的方式。随着在线平台和服务日益增加,确保用户年龄的准确性与安全性成为了重中之重。通过先进的AI技术,这些身份验证系统能够更有效地保护用户隐私,同时杜绝未成年人访问不当内容。本文将深入探讨当前的AI技术如何助力年龄验证,提升安全性并优化用户体验。
    身份证扫描 AI开发工具
    Glyph
    15.8K
    快速转录和可操作见解的AI工具,助你提升效率!利用先进的人工智能技术,我们的工具不仅能快速转录文本,还能提供实时的可操作见解,帮助你做出更明智的决策。无论是在会议、访谈还是演讲中,我们的AI解决方案都能让信息处理变得更轻松、更高效。
    AI 转录 转录员工具

    Find AI tools in YBX

    Related Articles
    Refresh Articles