Hugging Face漏洞警示 AIaaS 面臨更多資安挑戰

編譯/Cynthia

隨著人工智慧(AI)技術的迅速進步,人工智慧即服務(AI as a Service,AIaaS)在企業和開發者中日益受歡迎,在這個領域裡,Hugging Face AI平台因其方便性和多功能性廣受關注。

美國公司Hugging Face警告,人工智慧即服務(AI as a Service,AIaaS)面臨更多資安挑戰。示意圖。圖/123RF

團隊揭發弱點

Wiz資安研究團隊與Hugging Face攜手合作,發現該平台存在兩個重大漏洞。共享推論基礎設施和共享持續整合/持續交付(CI/CD)系統有安全漏洞,可能存在讓駭客注入惡意程式碼、進而控制模型或竄改CI/CD管道並接管的風險。其次,駭客可利用Pickle格式的漏洞進行遠端程式碼執行,取得更高的特權訪問權限。

更多新聞:生成式人工智慧生產力強大  將改變企業產品與服務週期

這些安全漏洞的存在不僅對個人數據和模型造成風險,也可能導致整個供應鏈受到攻擊。駭客可利用這些漏洞跨越平台進行更廣泛的攻擊,對整個AI生態系統造成更大的危害。

平台的應對措施

面對這些安全漏洞,Hugging Face已積極應對,快速修復漏洞並提供了解決方案,例如將Pickle文件替換為更安全的Safetensors,這是一種由Hugging Face開發的替代方案,主要在解決Pickle文件存在的安全問題。此外,還加強雲端安全管理和漏洞掃描等措施,以提升整個平台的安全性。

Hugging Face漏洞事件顯示,即使是由Google和Amazon支持、表面看似安全的AIaaS平台,也存在著嚴重的安全漏洞,對整個AI生態系統都帶來了威脅,因此在AI技術不斷進步的同時,需更加重視安全性並不斷加強防護措施。

資料來源:BankInfoSecurity

瀏覽 896 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button