Hugging Face AI 플랫폼의 두 가지 중요한 보안 취약점으로 인해 공격자가 고객 데이터 및 모델에 액세스하고 이를 변경할 수 있는 문이 열렸습니다.

보안 취약점 중 하나는 공격자가 Hugging Face 플랫폼의 다른 고객에 속한 기계 학습(ML) 모델에 액세스할 수 있는 방법을 제공했으며, 두 번째는 공유 컨테이너 레지스트리의 모든 이미지를 덮어쓸 수 있게 했습니다. Wiz 연구원들이 발견한 두 가지 결함은 모두 공격자가 Hugging Face의 추론 인프라 일부를 장악할 수 있는 능력과 관련이 있었습니다.

Wiz 연구원들은 세 가지 특정 구성 요소에서 약점을 발견했습니다. 사용자가 플랫폼에서 사용 가능한 모델을 탐색하고 상호 작용할 수 있게 해주는 Hugging Face의 추론 API; 포옹 얼굴 추론 엔드포인트 또는 AI 모델을 프로덕션에 배포하기 위한 전용 인프라 AI/ML 애플리케이션을 선보이거나 모델 개발을 위한 공동 작업을 위한 호스팅 서비스인 Hugging Face Spaces가 있습니다.

피클의 문제

Hugging Face의 인프라와 발견한 버그를 무기화하는 방법을 조사하면서 Wiz 연구자들은 Pickle 형식 기반의 모델을 포함하여 누구나 AI/ML 모델을 플랫폼에 쉽게 업로드할 수 있다는 사실을 발견했습니다. 간물 Python 객체를 파일에 저장하기 위해 널리 사용되는 모듈입니다. Python 소프트웨어 기반 자체에서도 Pickle이 안전하지 않다고 간주했지만, 사용하기 쉽고 사람들이 익숙하기 때문에 여전히 인기가 높습니다.

Wiz는 “로드 시 임의의 코드를 실행하는 PyTorch(Pickle) 모델을 만드는 것은 비교적 간단합니다.”라고 말했습니다.

Wiz 연구원들은 로드 시 역방향 셸을 실행하는 Hugging Face에 개인 Pickle 기반 모델을 업로드하는 기능을 활용했습니다. 그런 다음 연구원들은 Hugging Face 인프라에서 환경을 탐색하는 데 사용한 쉘과 유사한 기능을 달성하기 위해 Inference API를 사용하여 상호 작용했습니다.

이 연습을 통해 연구원들은 해당 모델이 Amazon Elastic Kubernetes Service(EKS) 클러스터의 포드에서 실행되고 있음을 빠르게 확인할 수 있었습니다. 여기에서 연구원들은 일반적인 잘못된 구성을 활용하여 공유 인프라의 다른 테넌트에 액세스할 수 있는 비밀을 보는 데 필요한 권한을 획득할 수 있는 정보를 추출할 수 있었습니다.

Hugging Face Spaces를 통해 Wiz는 공격자가 응용 프로그램 빌드 시간 동안 자신의 컴퓨터에서 네트워크 연결을 검사할 수 있는 임의 코드를 실행할 수 있음을 발견했습니다. 검토 결과, 그들이 조작할 수 있는 다른 고객 소유의 이미지가 포함된 공유 컨테이너 레지스트리에 대한 연결이 하나 있는 것으로 나타났습니다.

"잘못된 사람의 손에 들어가면 내부 컨테이너 레지스트리에 기록하는 기능이 플랫폼의 무결성에 심각한 영향을 미치고 고객 공간에 대한 공급망 공격으로 이어질 수 있습니다."라고 Wiz는 말했습니다.

포옹하는 얼굴이 말했다. 그것은 위즈가 발견한 위험을 완전히 완화시켰습니다. 한편 회사는 앞서 언급한 해당 파일과 관련된 보안 위험이 잘 문서화되어 있음에도 불구하고 Hugging Face 플랫폼에서 Pickle 파일 사용을 계속 허용하기로 한 결정과 적어도 부분적으로 관련이 있는 문제를 확인했습니다.  

"Pickle 파일은 Wiz가 수행한 대부분의 연구와 Hugging Face에 대한 보안 연구원의 기타 최근 간행물의 핵심이었습니다."라고 회사는 말했습니다. Hugging Face에서 Pickle 사용을 허용하는 것은 "엔지니어링 및 보안 팀에 부담이 되며 AI 커뮤니티가 선택한 도구를 사용할 수 있도록 허용하면서 위험을 완화하기 위해 상당한 노력을 기울였습니다."

AI-as-a-Service로 인한 새로운 위험

Wiz는 그 발견을 설명했습니다. 이는 조직이 공유 인프라를 사용하여 "서비스형 AI"로 알려지는 새로운 AI 모델 및 애플리케이션을 호스팅, 실행 및 개발할 때 인식해야 할 위험을 나타냅니다. 회사는 위험 및 관련 완화 조치를 조직이 퍼블릭 클라우드 환경에서 직면하는 위험 및 완화 조치에 비유하고 AI 환경에도 동일한 완화 조치를 적용할 것을 권장했습니다.

Wiz는 이번 주 블로그에서 "조직은 사용되는 전체 AI 스택에 대한 가시성과 거버넌스를 확보하고 모든 위험을 신중하게 분석해야 합니다"라고 말했습니다. 여기에는 '사용' 분석이 포함됩니다. 악성 모델, 훈련 데이터 노출, 훈련의 민감한 데이터, 취약점 AI SDK의 AI 서비스 노출, 공격자가 악용할 수 있는 기타 유해한 위험 조합 등이 포함됩니다.”라고 보안 공급업체는 말했습니다.

솔트 시큐리티(Salt Security)의 사이버 보안 전략 이사인 에릭 슈웨이크(Eric Schwake)는 조직이 알아야 할 서비스형 AI 사용과 관련하여 두 가지 주요 문제가 있다고 말합니다. “첫째, 위협 행위자는 유해한 AI 모델을 업로드하거나 추론 스택의 취약점을 악용하여 데이터를 훔치거나 결과를 조작할 수 있습니다.”라고 그는 말합니다. 둘째, 악의적인 행위자가 훈련 데이터를 손상시키려고 시도하여 일반적으로 데이터 중독이라고 알려진 편향되거나 부정확한 AI 출력을 초래할 수 있습니다.

특히 AI 모델이 얼마나 복잡해지고 있는지에 따라 이러한 문제를 식별하는 것은 어려울 수 있다고 그는 말했습니다. 이러한 위험 중 일부를 관리하려면 조직이 AI 앱 및 모델이 API와 상호 작용하는 방식을 이해하고 이를 보호하는 방법을 찾는 것이 중요합니다. “조직에서는 탐색을 원할 수도 있습니다. 설명 가능한 AI(XAI) Schwake는 "AI 모델을 더욱 이해하기 쉽게 만드는 데 도움이 되며 AI 모델 내의 편견이나 위험을 식별하고 완화하는 데 도움이 될 수 있습니다"라고 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle