فتحت ثغرتان أمنيتان خطيرتان في منصة Hugging Face AI الباب أمام المهاجمين الذين يتطلعون إلى الوصول إلى بيانات العملاء ونماذجهم وتغييرها.
ومنحت إحدى نقاط الضعف الأمنية للمهاجمين طريقة للوصول إلى نماذج التعلم الآلي (ML) التابعة لعملاء آخرين على منصة Hugging Face، وسمحت لهم الثانية بالكتابة فوق جميع الصور في سجل حاوية مشترك. كلا العيبين، اللذين اكتشفهما الباحثون في Wiz، يتعلقان بقدرة المهاجمين على الاستيلاء على أجزاء من البنية التحتية للاستدلال في Hugging Face.
وجد باحثو Wiz نقاط ضعف في ثلاثة مكونات محددة: Hugging Face's Inference API، والتي تتيح للمستخدمين تصفح النماذج المتاحة على النظام الأساسي والتفاعل معها؛ معانقة نقاط نهاية الاستدلال على الوجه – أو بنية تحتية مخصصة لنشر نماذج الذكاء الاصطناعي في الإنتاج؛ وHugging Face Spaces، وهي خدمة استضافة لعرض تطبيقات الذكاء الاصطناعي/التعلم الآلي أو للعمل بشكل تعاوني على تطوير النماذج.
المشكلة مع المخلل
أثناء فحص البنية التحتية لـ Hugging Face وطرق استغلال الأخطاء التي اكتشفوها كسلاح، وجد باحثو Wiz أنه يمكن لأي شخص بسهولة تحميل نموذج AI/ML إلى النظام الأساسي، بما في ذلك النماذج المستندة إلى تنسيق Pickle. مخلل هي وحدة مستخدمة على نطاق واسع لتخزين كائنات Python في ملف. على الرغم من أن مؤسسة برمجيات بايثون نفسها اعتبرت Pickle غير آمنة، إلا أنها لا تزال تحظى بشعبية كبيرة بسبب سهولة استخدامها وإلمام الناس بها.
"من السهل نسبيًا إنشاء نموذج PyTorch (Pickle) الذي سينفذ تعليمات برمجية عشوائية عند التحميل"، وفقًا لما ذكره Wiz.
استفاد باحثو Wiz من القدرة على تحميل نموذج خاص قائم على Pickle إلى Hugging Face والذي من شأنه تشغيل غلاف عكسي عند التحميل. ثم تفاعلوا معها باستخدام Inference API لتحقيق وظيفة تشبه الصدفة، والتي استخدمها الباحثون لاستكشاف بيئتهم على البنية التحتية لـ Hugging Face.
وسرعان ما أظهر هذا التمرين للباحثين أن نموذجهم كان يعمل في حجرة في مجموعة على Amazon Elastic Kubernetes Service (EKS). ومن هناك، تمكن الباحثون من الاستفادة من التكوينات الخاطئة الشائعة لاستخراج المعلومات التي سمحت لهم بالحصول على الامتيازات المطلوبة لعرض الأسرار التي كان من الممكن أن تسمح لهم بالوصول إلى المستأجرين الآخرين على البنية التحتية المشتركة.
باستخدام Hugging Face Spaces، اكتشف Wiz أن المهاجم يمكنه تنفيذ تعليمات برمجية عشوائية أثناء وقت إنشاء التطبيق مما يسمح له بفحص اتصالات الشبكة من أجهزته. وأظهرت مراجعتهم اتصالاً واحدًا بسجل حاوية مشترك يحتوي على صور تخص عملاء آخرين يمكن أن يكونوا قد تلاعبوا بها.
وقال ويز: "في الأيدي الخطأ، قد يكون للقدرة على الكتابة إلى سجل الحاويات الداخلي آثار كبيرة على سلامة النظام الأساسي وتؤدي إلى هجمات سلسلة التوريد على مساحات العملاء".
قال الوجه المعانق لقد خففت تمامًا من المخاطر التي اكتشفها ويز. وفي الوقت نفسه، حددت الشركة المشكلات على أنها تتعلق جزئيًا على الأقل بقرارها الاستمرار في السماح باستخدام ملفات Pickle على منصة Hugging Face، على الرغم من المخاطر الأمنية الموثقة جيدًا والمذكورة أعلاه والمرتبطة بمثل هذه الملفات.
وأشارت الشركة إلى أن "ملفات Pickle كانت في قلب معظم الأبحاث التي أجرتها Wiz وغيرها من المنشورات الحديثة التي أجراها باحثون أمنيون حول Hugging Face". يعد السماح باستخدام Pickle على Hugging Face "عبئًا على فرقنا الهندسية والأمنية، وقد بذلنا جهدًا كبيرًا للتخفيف من المخاطر مع السماح لمجتمع الذكاء الاصطناعي باستخدام الأدوات التي يختارونها".
المخاطر الناشئة مع الذكاء الاصطناعي كخدمة
وصف ويز اكتشافه كدليل على المخاطر التي يجب على المؤسسات أن تدركها عند استخدام البنية التحتية المشتركة لاستضافة وتشغيل وتطوير نماذج وتطبيقات جديدة للذكاء الاصطناعي، والتي أصبحت تُعرف باسم "الذكاء الاصطناعي كخدمة". وشبهت الشركة المخاطر وعمليات التخفيف المرتبطة بها بتلك التي تواجهها المؤسسات في البيئات السحابية العامة وأوصت بتطبيق نفس إجراءات التخفيف في بيئات الذكاء الاصطناعي أيضًا.
وقال ويز في مدونة هذا الأسبوع: "يجب على المؤسسات التأكد من أن لديها رؤية وحوكمة لمجموعة الذكاء الاصطناعي بأكملها المستخدمة وتحليل جميع المخاطر بعناية". يتضمن ذلك تحليل "استخدام". نماذج خبيثة, التعرض لبيانات التدريبالبيانات الحساسة في التدريب، نقاط الضعف وقال بائع الأمن: "في مجموعات SDK للذكاء الاصطناعي، والتعرض لخدمات الذكاء الاصطناعي، ومجموعات المخاطر السامة الأخرى التي قد يستغلها المهاجمون".
يقول إريك شويك، مدير استراتيجية الأمن السيبراني في Salt Security، إن هناك مشكلتين رئيسيتين تتعلقان باستخدام الذكاء الاصطناعي كخدمة يجب على المؤسسات أن تكون على دراية بهما. ويقول: "أولاً، يمكن للجهات الفاعلة في مجال التهديد تحميل نماذج الذكاء الاصطناعي الضارة أو استغلال نقاط الضعف في مكدس الاستدلال لسرقة البيانات أو التلاعب بالنتائج". "ثانيًا، يمكن للجهات الخبيثة أن تحاول اختراق بيانات التدريب، مما يؤدي إلى مخرجات متحيزة أو غير دقيقة للذكاء الاصطناعي، وهو ما يُعرف باسم تسميم البيانات."
ويقول إن تحديد هذه المشكلات يمكن أن يكون أمرًا صعبًا، خاصة مع مدى تعقيد نماذج الذكاء الاصطناعي. للمساعدة في إدارة بعض هذه المخاطر، من المهم للمؤسسات أن تفهم كيفية تفاعل تطبيقات ونماذج الذكاء الاصطناعي الخاصة بها مع واجهة برمجة التطبيقات وإيجاد طرق لتأمين ذلك. "قد ترغب المنظمات أيضًا في الاستكشاف الذكاء الاصطناعي القابل للتفسير (XAI) يقول شويك: "للمساعدة في جعل نماذج الذكاء الاصطناعي أكثر قابلية للفهم، ويمكن أن تساعد في تحديد وتخفيف التحيز أو المخاطر داخل نماذج الذكاء الاصطناعي".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle
