Νέες ανησυχίες για την ασφάλεια των μοντέλων AI (τεχνητή νοημοσύνη), καθώς ανακαλύφθηκε ότι οι χάκερ μπορούν να καταχραστούν το εργαλείο «Hugging Face Safetensors» και να πραγματοποιήσουν επιθέσεις «supply chain». Σε αυτές τις επιθέσεις, οι χάκερ επιτίθενται σε έναν πάροχο λογισμικού και μέσω του λογισμικού του προσβάλλουν τους πελάτες / χρήστες του.
Αυτό υποστηρίζουν ερευνητές ασφαλείας της HiddenLayer, οι οποίοι ανακάλυψαν το ελάττωμα και δημοσίευσαν τα ευρήματά τους την περασμένη εβδομάδα, όπως αναφέρει το The Hacker News.
Τι είναι το «Hugging Face Safetensors»
Το Hugging Face είναι μια πλατφόρμα συνεργασίας όπου οι προγραμματιστές λογισμικού μπορούν να φιλοξενούν και να συνεργάζονται σε απεριόριστα προ-εκπαιδευμένα μοντέλα μηχανικής μάθησης, σύνολα δεδομένων και εφαρμογές.
Το Safetensors είναι η μορφή του Hugging Face για την ασφαλή αποθήκευση των tensors (Τανυστής), η οποία επιτρέπει επίσης στους χρήστες να μετατρέψουν τα μοντέλα PyTorch σε Safetensor μέσω ενός pull request.
Και εκεί βρίσκεται το πρόβλημα, καθώς οι ερευνητές ασφαλείας της HiddenLayer τονίζουν ότι η υπηρεσία μετατροπής μπορεί να τεθεί σε κίνδυνο. «Είναι δυνατή η αποστολή κακόβουλων pull requests με ελεγχόμενα από επιτιθέμενους δεδομένα από την υπηρεσία Hugging Face σε οποιοδήποτε αποθετήριο της πλατφόρμας, καθώς και η πειρατεία οποιουδήποτε μοντέλου που υποβάλλεται μέσω της υπηρεσίας μετατροπής» αναφέρουν.
Έτσι, το υποκλαπέν μοντέλο επιτρέπει στους απειλητικούς παράγοντες να κάνουν αλλαγές σε οποιοδήποτε αποθετήριο του Hugging Face, ισχυριζόμενοι ότι είναι το bot μετατροπής.
Επιπλέον, οι χάκερ μπορούν επίσης να διαρρεύσουν τα tokens του SFConversionbot – που ανήκουν στο bot που κάνει τα pull requests – και να πουλήσουν οι ίδιοι κακόβουλα pull requests.
Κατά συνέπεια, θα μπορούσαν να τροποποιήσουν το μοντέλο και να δημιουργήσουν νευρικές κερκόπορτες, κάτι που αποτελεί ουσιαστικά μια προηγμένη επίθεση «supply chain»
«Ένας επιτιθέμενος θα μπορούσε να εκτελέσει οποιονδήποτε αυθαίρετο κώδικα κάθε φορά που κάποιος προσπαθούσε να μετατρέψει το μοντέλο του», αναφέρει η έρευνα. «Χωρίς καμία ένδειξη στον ίδιο τον χρήστη, τα μοντέλα τους θα μπορούσαν να υποκλαπούν κατά τη μετατροπή».
Τέλος, όταν ένας χρήστης προσπαθεί να μετατρέψει ένα αποθετήριο, η επίθεση θα μπορούσε να οδηγήσει στην κλοπή του Hugging Face token, παρέχοντας στους επιτιθέμενους πρόσβαση σε περιορισμένα εσωτερικά μοντέλα και σύνολα δεδομένων. Από εκεί και πέρα, θα μπορούσαν να τα θέσουν σε κίνδυνο με διάφορους τρόπους, συμπεριλαμβανομένης της δηλητηρίασης συνόλων δεδομένων.
Σε ένα υποθετικό σενάριο, ένας χρήστης υποβάλλει αίτημα μετατροπής για ένα δημόσιο αποθετήριο, αλλάζοντας εν αγνοία του ένα ευρέως χρησιμοποιούμενο μοντέλο, με αποτέλεσμα μια επικίνδυνη επίθεση «supply chain».
«Παρά τις καλύτερες προθέσεις για την ασφάλεια των μοντέλων μηχανικής μάθησης στο οικοσύστημα Hugging Face, η υπηρεσία μετατροπής αποδείχθηκε ευάλωτη και είχε τη δυνατότητα να προκαλέσει μια ευρεία επίθεση στην αλυσίδα εφοδιασμού μέσω της επίσημης υπηρεσίας Hugging Face. Ένας επιτιθέμενος θα μπορούσε να αποκτήσει πρόσβαση στο “κοντέινερ” που εκτελεί την υπηρεσία και να θέσει σε κίνδυνο οποιοδήποτε μοντέλο που έχει μετατραπεί από την υπηρεσία» κατέληξαν οι ερευνητές.
