Dwie krytyczne luki w zabezpieczeniach platformy Hugging Face AI otworzyły drzwi atakującym chcącym uzyskać dostęp do danych i modeli klientów oraz je zmienić.
Jedna z luk w zabezpieczeniach umożliwiła atakującym dostęp do modeli uczenia maszynowego (ML) należących do innych klientów platformy Hugging Face, a druga umożliwiła nadpisanie wszystkich obrazów we wspólnym rejestrze kontenerów. Obie wady, odkryte przez badaczy z Wiz, miały związek ze zdolnością atakujących do przejęcia części infrastruktury wnioskowania Hugging Face.
Badacze Wiz odkryli słabe punkty w trzech konkretnych komponentach: interfejs API Hugging Face's Inference API, który umożliwia użytkownikom przeglądanie i interakcję z modelami dostępnymi na platformie; Hugging Face Inference Endpoints — czyli dedykowana infrastruktura do wdrażania modeli AI w środowisku produkcyjnym; oraz Hugging Face Spaces – usługa hostingowa służąca do prezentowania aplikacji AI/ML lub do wspólnej pracy nad rozwojem modeli.
Problem z marynatą
Badając infrastrukturę Hugging Face i sposoby wykorzystania odkrytych błędów jako broni, badacze Wiz odkryli, że każdy może z łatwością przesłać na platformę model AI/ML, w tym modele oparte na formacie Pickle. Marynata to powszechnie używany moduł do przechowywania obiektów Pythona w pliku. Chociaż nawet sama fundacja oprogramowania Python uznała Pickle za niebezpieczny, pozostaje popularny ze względu na łatwość użycia i znajomość go przez ludzi.
„Stworzenie modelu PyTorch (Pickle), który po załadowaniu wykona dowolny kod, jest stosunkowo proste” – twierdzi Wiz.
Badacze Wiz wykorzystali możliwość przesłania prywatnego modelu opartego na Pickle do Hugging Face, który po załadowaniu uruchamiał odwrotną powłokę. Następnie nawiązali z nim interakcję za pomocą interfejsu Inference API, aby uzyskać funkcjonalność przypominającą powłokę, której badacze używali do eksploracji swojego środowiska w infrastrukturze Hugging Face.
Ćwiczenie to szybko pokazało badaczom, że ich model działa w kapsule w klastrze w usłudze Amazon Elastic Kubernetes Service (EKS). Stamtąd badacze byli w stanie wykorzystać typowe błędne konfiguracje w celu wydobycia informacji, które pozwoliły im uzyskać uprawnienia wymagane do przeglądania wpisów tajnych, które mogłyby umożliwić im dostęp do innych dzierżawców współdzielonej infrastruktury.
Dzięki Hugging Face Spaces Wiz odkrył, że osoba atakująca może podczas tworzenia aplikacji wykonać dowolny kod, który umożliwiłby mu sprawdzenie połączeń sieciowych ze swojego komputera. Ich analiza wykazała jedno połączenie ze wspólnym rejestrem kontenerów zawierającym obrazy należące do innych klientów, którymi mogli manipulować.
„W niepowołanych rękach możliwość zapisu w wewnętrznym rejestrze kontenerów może mieć poważne konsekwencje dla integralności platformy i prowadzić do ataków na łańcuch dostaw na przestrzenie klientów” – powiedział Wiz.
Powiedziała Przytulająca Twarz całkowicie złagodziło ryzyko, które odkrył Wiz. W międzyczasie firma zidentyfikowała problemy, które przynajmniej częściowo wynikają z decyzji o dalszym zezwalaniu na korzystanie z plików Pickle na platformie Hugging Face, pomimo wyżej wymienionych dobrze udokumentowanych zagrożeń bezpieczeństwa związanych z takimi plikami.
„Pliki Pickle były podstawą większości badań przeprowadzonych przez Wiz i innych ostatnich publikacji badaczy bezpieczeństwa na temat Hugging Face” – zauważyła firma. Zezwolenie na używanie Pickle na Hugging Face „jest obciążeniem dla naszych zespołów inżynieryjnych i bezpieczeństwa, dlatego włożyliśmy znaczny wysiłek, aby ograniczyć ryzyko, jednocześnie umożliwiając społeczności AI korzystanie z wybranych przez nią narzędzi”.
Pojawiające się zagrożenia związane ze sztuczną inteligencją jako usługą
Wiz opisał swoje odkrycie jako wskaźnik ryzyka, którego organizacje muszą być świadome, korzystając ze wspólnej infrastruktury do hostowania, uruchamiania i opracowywania nowych modeli i aplikacji sztucznej inteligencji, co staje się znane jako „sztuczna inteligencja jako usługa”. Firma porównała ryzyko i związane z nim środki zaradcze do tych, które organizacje napotykają w środowiskach chmury publicznej i zaleciła zastosowanie tych samych środków zaradczych również w środowiskach sztucznej inteligencji.
„Organizacje powinny zapewnić widoczność i nadzór nad całym używanym stosem sztucznej inteligencji, a także dokładnie analizować wszystkie ryzyka” – stwierdził Wiz na blogu w tym tygodniu. Obejmuje to analizę „wykorzystania złośliwe modele, ekspozycja danych treningowych, wrażliwe dane w szkoleniu, luki w pakietach SDK AI, narażenie usług AI i inne kombinacje toksycznego ryzyka, które mogą zostać wykorzystane przez osoby atakujące” – stwierdził dostawca zabezpieczeń.
Eric Schwake, dyrektor ds. strategii cyberbezpieczeństwa w Salt Security, twierdzi, że organizacje muszą być świadome dwóch głównych kwestii związanych z wykorzystaniem sztucznej inteligencji jako usługi. „Po pierwsze, cyberprzestępcy mogą przesyłać szkodliwe modele sztucznej inteligencji lub wykorzystywać luki w zabezpieczeniach stosu wnioskowania w celu kradzieży danych lub manipulowania wynikami” – mówi. „Po drugie, złośliwi aktorzy mogą próbować naruszyć bezpieczeństwo danych szkoleniowych, co prowadzi do stronniczych lub niedokładnych wyników sztucznej inteligencji, co jest powszechnie znane jako zatruwanie danych”.
Identyfikacja tych problemów może stanowić wyzwanie, szczególnie w obliczu tego, jak złożone stają się modele sztucznej inteligencji – mówi. Aby pomóc w zarządzaniu częścią tego ryzyka, organizacje muszą zrozumieć, w jaki sposób ich aplikacje i modele AI współdziałają z interfejsem API, a także znaleźć sposoby na zabezpieczenie tego. „Organizacje mogą również chcieć to zbadać Wyjaśnialna sztuczna inteligencja (XAI) pomóc w uczynieniu modeli sztucznej inteligencji bardziej zrozumiałymi” – mówi Schwake – „i może pomóc w identyfikacji i łagodzeniu stronniczości lub ryzyka w modelach sztucznej inteligencji”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle
