上周,AI平台Hugging Face遭遇黑客攻击,公司呼吁所有用户立即重置密码或令牌等登录凭证,以防止AI模型等研发成果被非法访问。
事件概述
Hugging Face的安全团队上星期发现,其机器学习应用托管平台Spaces,特别是与Spaces金钥或令牌相关的机密内容,出现了未经授权的访问活动。公司怀疑部分机密信息可能已经被盗。为了安全起见,Hugging Face已经注销了多笔受影响的HF令牌,并通过电子邮件通知了受影响的用户。同时,公司建议所有用户重置所有金钥或令牌,并考虑将HF令牌更改为可细部设定的访问令牌。目前,Hugging Face已经将后者设为新的默认验证方式。
安全升级
Hugging Face强调,除了调查此次事件,公司也已经加强了Spaces基础设施的安全防护措施,包括:
- 完全移除组织令牌,以提高可追踪性和审计能力
- 实施Spaces金钥管理服务
- 提升系统识别并注销泄露令牌的能力
公司计划在更新的访问令牌功能更加完善后,关闭旧式具有读写能力的令牌。同时,Hugging Face已经向执法机关和数据保护主管机关报告了此次事件。
背景信息
作为全球最受欢迎的平台之一,Hugging Face也是黑客攻击的主要目标。去年底,安全公司Lasso披露了Hugging Face的API漏洞,该漏洞可能使黑客获取知名企业的身份验证信息,或污染训练数据、窃取、篡改AI模型。两个月前,安全厂商Wiz也公布了API、推理端点、Spaces的漏洞,这些漏洞可能允许黑客上传恶意模型到Hugging Face平台,进而远程执行代码,或扩大权限进行非法活动。
0条评论