AI模型平台Hugging Face “惊现”百余个恶意ML模型
2024-2-29 10:17:2 Author: www.freebuf.com(查看原文) 阅读量:17 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1709173018_65dfe91a147e171c8b798.png!small

近日,JFrog 的安全团队发现Hugging Face 平台上至少 100 个恶意人工智能 ML 模型实例,其中一些可以在受害者的机器上执行代码,为攻击者提供了一个持久的后门,构成了数据泄露和间谍攻击的重大风险。

Hugging Face 是一家从事人工智能(AI)、自然语言处理(NLP)和机器学习(ML)的技术公司,它提供了一个平台,用户可以在这个平台上协作和共享模型、数据集和完整的应用程序。

尽管 Hugging Face 采取了包括恶意软件、pickle 和机密扫描在内的安全措施,并对模型的功能进行了仔细检查,但仍然没能阻止安全事件发生。

1709177627_65dffb1b6d3637168cf3b.png!small

通过人工智能模型实现代码执行 (JFrog)

恶意人工智能 ML 模型

JFrog 开发并部署了一套先进的扫描系统,专门用于检查 Hugging Face 上托管的 PyTorch 和 Tensorflow Keras 模型,发现其中 100 个模型具有某种形式的恶意功能。

JFrog在报告中写道:一般我们说的"恶意模型 "特指那些容纳了真正有害有效载荷的模型。以此标准来统计排除了误报,确保真实反映了在 Hugging Face 上为 PyTorch 和 Tensorflow 制作恶意模型的努力分布情况。

1709178439_65dffe477d9fdca54cf1e.png!small?1709178440058

恶意模型中发现的有效载荷类型 (JFrog)

一个名为 "baller423 "的用户最近上传了一个 PyTorch 模型,该模型已从 HuggingFace 中删除,其中一个突出案例包含的有效载荷使其能够建立一个指向指定主机(210.117.212.93)的反向外壳。

恶意有效载荷使用 Python 的 pickle 模块的"__reduce__"方法在加载 PyTorch 模型文件时执行任意代码,通过将恶意代码嵌入可信序列化过程来逃避检测。

1709178598_65dffee66d9990edd1074.png!small?1709178599093

建立反向外壳的有效载荷(JFrog)

JFrog 发现相同的有效载荷在不同情况下会连接到其他 IP 地址,并且有证据表明其操作者可能是人工智能研究人员而非黑客。

为此,分析人员部署了一个 HoneyPot 来吸引和分析这些活动,以确定操作者的真实意图,但在建立连接期间(一天)无法捕获任何命令。

1709178743_65dfff77a322dc2009147.png!small?1709178745245

设置蜜罐诱捕攻击者(JFrog)

JFrog表示,有一些恶意上传可能是安全研究的一部分,目的是绕过 "拥抱脸谱 "上的安全措施并收集漏洞赏金,但既然这些危险的模型已经公开,那么风险就是真实存在的,必须引起重视。

人工智能 ML 模型可能会带来巨大的安全风险,而利益相关者和技术开发人员还没有意识到这些风险,也没有认真讨论过这些风险。

JFrog 此次的发现更加说明了问题的重要性,他呼吁打架提高警惕并采取积极措施,以保护生态系统免受恶意行为者的侵害。

参考来源:Malicious AI models on Hugging Face backdoor users’ machines 


文章来源: https://www.freebuf.com/news/392830.html
如有侵权请联系:admin#unsafe.sh