背景圖片取自Pawel Czerwinski on Unsplash

AI平臺Hugging Face上周公布遭駭,呼籲所有用戶重設密碼或令牌等登入憑證,以免AI模型等研發成果被不法存取。

Hugging Face安全團隊上星期偵測到機器學習應用代管平臺Spaces,特別是和Spaces金鑰或令牌等相關的機密內容有未經授權的存取活動,相信可能有部分機密資訊已經遭竊。該公司已經註銷了多筆包含其中的HF令牌,並發出電子郵件通知受影響的用戶。

不過,為安全起見,Hugging Face建議所有用戶重設所有金鑰或令牌,並考慮將HF令牌改成可細部設定的存取令牌,目前Hugging Face已經將後者設為新的預設驗證方式。

Hugging Face強調除了調查此事後續事件,也已經加強Spaces基礎架構的安全防護,包括完全移除組織令牌以提升可追蹤性和稽核能力、實作Spaces金鑰管理服務、提升系統辨識並註銷外洩令牌的能力等等。該公司計畫近日在更新的存取令牌功能更完善一點後,將關閉舊式具讀寫能力的令牌。該公司也已通報執法機關和資料防護主管機關。

作為全球最熱門的平臺之一,Hugging Face也是駭客攻擊的主要目標。去年底資安業者Lasso揭露Hugging Face的API漏洞,讓駭客有機會取得知名企業的身分驗證資訊,或污染訓練資料、竊取、竄改AI模型。二個月前資安廠商Wiz也公布API、推論端點、Spaces的漏洞可讓駭客上傳惡意模型至Hugging Face平臺,進而自遠端執行程式碼,或是擴張權限從事不法行為。

熱門新聞

Advertisement