اواخر بعدازظهر جمعه، زمانی که شرکت‌ها معمولاً پنجره زمانی را برای افشای اطلاعات نامطلوب رزرو می‌کنند، استارت‌آپ هوش مصنوعی Hugging Face بيان کرد که تیم امنیتی آن اوایل این هفته «دسترسی غیرمجاز» به Spaces، پلت‌فرم Hugging Face برای ایجاد، اشتراک‌گذاری و میزبانی مدل‌ها و منابع هوش مصنوعی را شناسایی کرده است.

در یک پست وبلاگی، Hugging Face بيان کرد که نفوذ مربوط به اسرار Spaces یا اطلاعات خصوصی است که به عنوان کلیدی برای باز کردن قفل منابع محافظت شده مانند حساب‌ها، ابزارها و محیط‌های توسعه‌دهنده عمل می‌کنند، و اینکه «مشکوک» دارد که برخی از اسرار ممکن است وجود داشته باشند. توسط شخص ثالث بدون مجوز دسترسی پیدا کرده است.

برای احتیاط، Hugging Face تعدادی از نشانه‌های موجود در آن رازها را باطل کرده است. (از نشانه‌ها برای تأیید هویت استفاده می‌شود.) Hugging Face او میگوید که کاربرانی که توکن‌هایشان باطل شده است قبلاً یک ایمیل اخطار دریافت کرده‌اند و به همه کاربران توصیه می‌کند «کلید یا نشانه‌ای» را تازه‌سازی کنند و به توکن‌های دسترسی دقیق تغییر کنند، که Hugging ادعاهای چهره ایمن تر هستند.

بلافاصله مشخص نیست که چه تعداد کاربر یا برنامه تحت تأثیر این نقض احتمالی قرار گرفته اند. ما برای اطلاعات بیشتر با Hugging Face تماس گرفته‌ایم و اگر پاسخی شنیدیم این پست را به‌روزرسانی خواهیم کرد.

ما با متخصصان پزشکی قانونی امنیت سایبری خارجی کار می کنیم تا این موضوع را تحلیل کنیم و همچنین سیاست ها و رویه های امنیتی خود را تحلیل کنیم. Hugging Face در این پست نوشت. ما عمیقاً از اختلالی که ممکن است این حادثه ایجاد کرده باشد متأسفیم و ناراحتی را که ممکن است برای شما ایجاد کرده باشد درک می کنیم. ما متعهد می شویم که از این فرصت به عنوان فرصتی برای تقویت امنیت کل زیرساختمان استفاده کنیم.»

هک احتمالی Spaces در حالی اتفاق می‌افتد که Hugging Face، که یکی از بزرگترین پلتفرم‌ها برای پروژه‌های مشترک هوش مصنوعی و علم داده با بیش از یک میلیون مدل، مجموعه داده‌ها و برنامه‌های مبتنی بر هوش مصنوعی است، با نظارت فزاینده‌ای بر روی اقدامات امنیتی خود مواجه است.

در ماه آوریل، محققان شرکت امنیت ابری Wiz آسیب‌پذیری را پیدا کردند - از زمانی که رفع شد - که به مهاجمان اجازه می‌دهد کد دلخواه را در طول زمان ساخت اپلیکیشن میزبانی Hugging Face اجرا کنند که به آنها اجازه می‌دهد اتصالات شبکه را از دستگاه‌هایشان تحلیل کنند. در اوایل سال، شرکت امنیتی JFrog شواهدی را کشف کرد که نشان می‌داد کدهای آپلود شده در Hugging Face به‌طور مخفیانه درب‌های پشتی و انواع دیگر بدافزارها را بر روی ماشین‌های کاربر نهایی نصب کرده‌اند. و استارت‌آپ امنیتی HiddenLayer راه‌هایی را شناسایی کرد که می‌توان از فرمت سریال‌سازی ظاهراً ایمن‌تر Hugging Face، Safetensors، برای ایجاد مدل‌های AI خراب‌شده سوء استفاده کرد.

Hugging Face اخیراً گفته است که با Wiz برای استفاده از ابزارهای اسکن آسیب‌پذیری و پیکربندی محیط ابری شرکت «با هدف بهبود امنیت در سراسر پلتفرم ما و اکوسیستم هوش مصنوعی/ML به طور کلی» همکاری خواهد کرد.

خبرکاو