编辑:电脑系统下载 2023-12-13 来源于:网络
电脑系统网 12 月 5 日新闻,安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 黑客可以获得微软、谷歌、令牌漏洞Meta 可访问模型库、污染培训数据或窃取、修改等公司令牌 AI 模型。
计算机系统网络从安全公司的报告中了解到,由于平台的令牌信息被写死 API 因此,黑客可以直接从中学习 Hugging Face 及 GitHub 的存储库(repository)在平台上获得各种模型的分发者 API 令牌(token),安全人员从上述平台中找到安全人员 1681 一个有效的令牌。
▲ 图源 安全公司 Lasso Security经过对数据的逐步分析,安全人员获得了数据 723 企业组织的账户包括 Meta、微软,谷歌,VMware 及 Hugging Face 官方等。其中 655 个令牌有写入权限,其中 77 还可以写入多个组织,让研究人员全权控制多家知名公司的模型库,比如 Pythia 的 EleutherAI、Meta Llama 2、Bloom 的 BigScience Workshop。
▲ 图源 安全公司 Lasso Security安全公司警告说,只要黑客成功地控制了这些模型库,他们就可以发动各种攻击。不限于最基本的窃取模型和数据集,或污染模型本身,使现有模型“携带私人商品”,从而危及依赖这些基本模型的应用和公共设施。
此外,安全公司还发现了一个 Hugging Face 此前宣布已停止使用的 org_api tokens 有漏洞,安全人员稍微修改了代码,让这个 API “复活”,成功地让研究人员在平台上下载了包括微软私有模型在内的多种非公开模型。
目前,安全公司已向微软报告了相关漏洞,Meta、谷歌、VMware 等公司也撤销了之前的公司 API 令牌和暴露 token。
广告声明:文本中包含的外部跳转链接(包括不限于超链接、二维码、密码等形式)用于传递更多信息,节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。
2023/12/13 02:50
《咬文嚼字》公布今年十大流行语:人工智能大模型、村超等上榜2023/12/13 02:50
AI 平台 Hugging Face 现 API 令牌漏洞,黑客可获取微软、谷歌等模型库权限2023/12/13 02:50
格灵深瞳声明:没有开发所谓的“收费版寻亲 App”今日,中央广播电视总台 2024 龙年春晚吉祥物形象“龙辰辰”正式发布亮相,该吉祥物形象突出呈现吉祥如意、平安幸福的美好寓意。...
2023/12/13 02:50:37
安全公司 Wordfence 日前发现有黑客冒充 WordPress 官方名义,向网站站长寄送钓鱼邮件,声称检测到网站存在漏洞,有可能让黑客远程执行代码,要求站长使用邮件附带的 CVE-2023-4512...
2023/12/13 02:50:36