根據IT 之家12 月5 日消息,安全公司Lasso Security 日前發現AI 模型平台Hugging Face 上存在API 令牌漏洞,駭客可取得微軟、Google、Meta 等公司的令牌,並能夠存取模型庫,污染訓練資料或竊取、修改AI 模型。由於平台的令牌資訊寫死在API 中,因此駭客可以直接從Hugging Face 及GitHub 的儲存庫(repository)取得平台上各模型分發者的API 令牌(token),安全人員一共從上述平台中找到1681 個有效的令牌。經過一步分析資料,安全人員取得了723 家企業組織的帳號,其中包括Meta、微軟、Google、VMware 及Hugging Face 官方等。其中655 個代幣具有寫入權限,其中77 個還能寫入多個組織,讓研究人員得以全權控制多家知名公司的模型庫,例如Pythia 的EleutherAI、Meta Llama 2、Bloom 的BigScience Workshop。安全公司警告,只要駭客成功控制這些模型庫,就能發動多種攻擊。目前安全公司已經回報相關漏洞,而微軟、Meta、Google、VMware 等公司也紛紛撤銷了先前的API 代幣及暴露的token。
dark