Hugging Face Spaces 平台的认证令牌被盗
2024-6-3 17:29:27 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

AI 平台 Hugging Face 表示,Spaces 平台被攻陷,导致黑客能够访问会员的认证机密。

Hugging Face Spaces 是由该社区用户创建和提交的一个AI应用仓库,可允许其他会员进行演示。Hugging Face 在博客文章中提到,“本周早些时候,我们团队检测到对 Spaces 平台的越权访问,具体和 Spaces 机密相关。我们怀疑 Spaces 的一部分机密已被越权访问。”

Hugging Face 表示已经撤销受陷机密中的认证令牌并通过邮件通知受影响用户。不过他们建议所有 Hugging Face Spaces 用户更新令牌并使用更精细的访问令牌,可使组织机构对AI模型的访问人群具有更严格的控制。目前,Hugging Face 正在和外部网络安全专家一起调查该攻陷事件并将该事件汇报给执法和数据保护机构。

Hugging Face 表示因这起事件已在几天前加强了安全措施。该平台指出,“几天来,我们已经对Spaces基础设施的安全性进行了其它重大更新,包括完全删除组织机构令牌(增强可追踪性和审计能力),为Spaces 机密执行密钥管理服务 (KMS),增强和扩展系统识别被泄露令牌并主动使其失效的能力,并且从整体上提升了安全性。我们还计划在不久的将来,随着精细化访问令牌实现全部特性,完全弃用‘典型的’读写令牌。我们将继续调查任何可能的相关事件。”

随着Hugging Face越来越流行,它也成为威胁行动者的香饽饽,后者试图滥用该平台实施恶意活动。2月份,JFrog 公司发现了约100个恶意 AI ML模型实例被用于在受害者机器上执行恶意代码。其中一个模型开放了一个反向 shell,可使远程威胁行动者访问运行该代码的设备。近期,Wiz 公司的安全研究员发现一个漏洞可使攻击者上传自定义模型并利用容器逃逸获得对其他客户模型的跨租户访问权限。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击

攻击者利用Okta被盗令牌黑入Cloudflare

挖出被暴露的1500+APT令牌,破解近千家公司的LLM仓库

恶意NPM包窃取Discord 令牌和信用卡信息等

Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/ai-platform-hugging-face-says-hackers-stole-auth-tokens-from-spaces/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519644&idx=1&sn=5eb9fc35a309edde31aaa7a8d71ed769&chksm=ea94bcf6dde335e04245518d4dca1f986a572a0e78605acfe1866e0bb236396af327b128640b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh