Αργά το απόγευμα της Παρασκευής, ένα χρονικό παράθυρο που συνήθως επιφυλάσσουν οι εταιρείες για μη κολακευτικές αποκαλύψεις, η startup AI Hugging Face είπε ότι η ομάδα ασφαλείας της νωρίτερα αυτή την εβδομάδα εντόπισε «μη εξουσιοδοτημένη πρόσβαση» στο Spaces, την πλατφόρμα του Hugging Face για τη δημιουργία, την κοινή χρήση και τη φιλοξενία μοντέλων και πόρων AI.
Σε μια ανάρτηση ιστολογίου, το Hugging Face είπε ότι η εισβολή που σχετίζεται με τα μυστικά του Spaces ή τις ιδιωτικές πληροφορίες που λειτουργούν ως κλειδιά για το ξεκλείδωμα προστατευμένων πόρων, όπως λογαριασμοί, εργαλεία και περιβάλλοντα προγραμματιστών, και ότι έχει «υποψίες» ότι κάποια μυστικά θα μπορούσαν να έχουν έχει πρόσβαση από τρίτο μέρος χωρίς εξουσιοδότηση.
Ως προφύλαξη, το Hugging Face έχει ανακαλέσει μια σειρά από διακριτικά σε αυτά τα μυστικά. (Τα κουπόνια χρησιμοποιούνται για την επαλήθευση ταυτοτήτων.) Η Hugging Face λέει ότι οι χρήστες των οποίων τα διακριτικά έχουν ανακληθεί έχουν ήδη λάβει μια ειδοποίηση μέσω email και συνιστά σε όλους τους χρήστες να «ανανεώσουν οποιοδήποτε κλειδί ή διακριτικό» και να εξετάσουν το ενδεχόμενο να αλλάξουν σε διακριτικά διακριτικά πρόσβασης, τα οποία το Hugging Οι αξιώσεις προσώπου είναι πιο ασφαλείς.
Δεν ήταν αμέσως σαφές πόσοι χρήστες ή εφαρμογές επηρεάστηκαν από την πιθανή παραβίαση. «Συνεργαζόμαστε με εξωτερικούς ειδικούς εγκληματολογίας στην ασφάλεια στον κυβερνοχώρο, για να διερευνήσουμε το ζήτημα καθώς και να εξετάσουμε τις πολιτικές και τις διαδικασίες ασφαλείας μας. Έχουμε επίσης αναφέρει αυτό το περιστατικό στις αρχές επιβολής του νόμου και στις αρχές προστασίας δεδομένων [sic]», έγραψε η Hugging Face στην ανάρτηση. «Λυπούμαστε βαθύτατα για την αναστάτωση που μπορεί να έχει προκαλέσει αυτό το περιστατικό και κατανοούμε την ταλαιπωρία που μπορεί να σας προκάλεσε. Δεσμευόμαστε να το χρησιμοποιήσουμε ως ευκαιρία για να ενισχύσουμε την ασφάλεια ολόκληρης της υποδομής μας».
Το πιθανό hack του Spaces έρχεται καθώς το Hugging Face, το οποίο είναι μια από τις μεγαλύτερες πλατφόρμες για συνεργατικά έργα τεχνητής νοημοσύνης και επιστήμης δεδομένων με περισσότερα από ένα εκατομμύριο μοντέλα, σύνολα δεδομένων και εφαρμογές που υποστηρίζονται από AI, αντιμετωπίζει αυξανόμενο έλεγχο των πρακτικών ασφαλείας του.
Τον Απρίλιο, ερευνητές στην εταιρεία ασφάλειας cloud Wiz ανακάλυψαν μια ευπάθεια — αφού διορθώθηκε — που θα επέτρεπε στους εισβολείς να εκτελούν αυθαίρετο κώδικα κατά τη διάρκεια του χρόνου κατασκευής μιας εφαρμογής που φιλοξενείται στο Hugging Face που θα τους επέτρεπε να εξετάσουν τις συνδέσεις δικτύου από τους υπολογιστές τους. Νωρίτερα μέσα στο έτος, η εταιρεία ασφαλείας JFrog αποκάλυψε στοιχεία ότι ο κώδικας που ανέβηκε στο Hugging Face εγκατέστησε κρυφά backdoors και άλλους τύπους κακόβουλου λογισμικού σε μηχανήματα τελικού χρήστη. Και η startup ασφαλείας HiddenLayer εντόπισε τρόπους με τους οποίους η φαινομενικά ασφαλέστερη μορφή σειριοποίησης του Hugging Face, Safetensors, θα μπορούσε να γίνει κατάχρηση για τη δημιουργία υπονομευμένων μοντέλων τεχνητής νοημοσύνης.
Η Hugging Face είπε πρόσφατα ότι θα συνεργαστεί με τη Wiz για τη χρήση των εργαλείων σάρωσης ευπάθειας και διαμόρφωσης περιβάλλοντος cloud της εταιρείας «με στόχο τη βελτίωση της ασφάλειας στην πλατφόρμα μας και στο οικοσύστημα AI/ML γενικότερα».
