Bezpečnostní incident na platformě Hugging Face, která se zabývá AI

Zpět na blog

Společnost Hugging Face, která se zaměřuje na umělou inteligenci, oznámila, že zaznamenala neoprávněný přístup na svou platformu Spaces. Společnost ve svém prohlášení uvedla, že má podezření, že část dat z platformy Spaces mohla být přístupná bez autorizace.

Platforma Spaces umožňuje uživatelům vytvářet, hostovat a sdílet aplikace založené na umělé inteligenci a strojovém učení (ML). Zároveň slouží jako nástroj pro objevování AI aplikací vytvořených jinými uživateli na platformě.

V reakci na tento bezpečnostní incident se společnost Hugging Face rozhodla zrušit řadu HF tokenů, které byly součástí těchto tajemství, a informuje uživatele, kterým byly tyto tokeny zrušeny, prostřednictvím e-mailu.

Společnost doporučila obnovit jakékoliv klíče nebo tokeny a zvážit přechod na HF tokeny s jemnějším přístupem, které jsou nyní nastavené jako výchozí.

Hugging Face však neprozradila, kolik uživatelů bylo incidentem ovlivněno, a událost je stále předmětem dalšího vyšetřování. Společnost také informovala orgány činné v trestním řízení a úřady pro ochranu dat.

Tento vývoj přichází v době, kdy jsou poskytovatelé služeb v oblasti AI (AI-as-a-Service) častým terčem útočníků, a to zejména kvůli rychlému růstu sektoru umělé inteligence.

V dubnu tohoto roku bezpečnostní firma Wiz popsala bezpečnostní problémy na platformě Hugging Face, které by mohly útočníkovi umožnit přístup napříč jednotlivými uživateli a poškodit AI/ML modely převzetím kontrol nad kontinuálními integračními a distribučně nasazovacími (CI/CD) pipeline.

Dřívější výzkum společnosti HiddenLayer také odhalil nedostatky ve službě Hugging Face Safetensors, které umožňovaly hijacking AI modelů a provádění útoků na dodavatelský řetězec.

„Pokud by škodlivý aktér kompromitoval platformu Hugging Face, mohl by potenciálně získat přístup k soukromým AI modelům, datovým sadám a kritickým aplikacím, což by vedlo k rozsáhlým škodám a potenciálním rizikům v dodavatelském řetězci,“ uvedli výzkumníci společnosti Wiz v dubnu.

Incident na platformě Hugging Face podtrhuje důležitost robustní kybernetické bezpečnosti v éře rostoucího využívání umělé inteligence. Pro firmy, které využívají služby AIaaS, je klíčové počítat s riziky a přistupovat i k těmto technologiím se zvýšenou opatrností.

Zdroj: The Hacker News

Zdroj ilustračního obrázku: Autor/ka fotografie: Soumil Kumar

6. 6. 2024