AI 平台 Hugging Face 现 API 令牌漏洞,黑客可获取微软、谷歌等模型库权限
发表于:2024-09-23 作者:千家信息网编辑
千家信息网最后更新 2024年09月23日,CTOnews.com 12 月 5 日消息,安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞,黑客可获取微软、谷歌、Meta 等公
千家信息网最后更新 2024年09月23日AI 平台 Hugging Face 现 API 令牌漏洞,黑客可获取微软、谷歌等模型库权限▲ 图源 安全公司 Lasso Security ▲ 图源 安全公司 Lasso Security
CTOnews.com 12 月 5 日消息,安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞,黑客可获取微软、谷歌、Meta 等公司的令牌,并能够访问模型库,污染训练数据或窃取、修改 AI 模型。
CTOnews.com从安全公司报道中获悉,由于平台的令牌信息写死在 API 中,因此黑客可以直接从 Hugging Face 及 GitHub 的存储库(repository)获得平台上各模型分发者的 API 令牌(token),安全人员一共从上述平台中找到 1681 个有效的令牌。
经过一步分析资料,安全人员获得了 723 家企业组织的帐号,其中包括 Meta、微软、谷歌、VMware 及 Hugging Face 官方等。其中 655 个令牌具有写入权限,其中 77 个还能写入多个组织,令研究人员得以全权控制多家知名公司的模型库,例如 Pythia 的 EleutherAI、Meta Llama 2、Bloom 的 BigScience Workshop。
安全公司警告,只要黑客成功控制这些模型库,就能发动多种攻击。不限于最基本的窃取模型和数据集,或是污染模型本身,让现有模型"夹带私货",从而危害依赖这些基础模型的应用及公共设施。
此外,安全公司发现一个 Hugging Face 此前宣布已停用的 org_api tokens 存在漏洞,安全人员稍微修改了代码,就令这款 API "复活",成功令研究人员下载平台上多款不公开的模型,包括微软的私有模型。
目前安全公司已经上报相关漏洞,而微软、Meta、谷歌、VMware 等公司也纷纷撤销了此前的 API 令牌及暴露的 token。
模型
安全
公司
令牌
平台
人员
微软
漏洞
黑客
成功
数据
研究人员
控制
污染
研究
权限
有效
知名
代码
企业
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
朝阳区推广软件开发介绍
开源数据库实现安全
系统版本和数据库版本不一致
内蒙古蒙泰互联网科技公司
TX服务器垃圾
pg数据库的安装方式
感谢互联网感谢高科技
数据库的期刊
潮安区网络安全办公室
数据库wow
infomix数据库关联查询
广州新华互联网科技学校校风
网络安全中的边界安全
深圳美克拉网络技术
万得数据库功能
云霄县网络安全
勘测定界图需要上传数据库吗
日本运服务器免费
monggo数据库密码
小健人互联网科技地址
浙江ar增强现实技术软件开发
芝杜添加服务器
bs数据库系统
四通道服务器主板
云服务器ecs有显卡吗
天源迪科是网络安全概念么
心战下载软件开发
著名软件开发公司排名
我和网络安全的手抄报
增城专业网络安全建设
相关文章
- 25 周年纪念作,情怀拉满但诚意欠缺:《勇者斗恶龙 怪物仙境 3》
- 联想拯救者 Y700 2023 平板推送 ZUI 15.0.723 系统灰度测试:新增“USB 网络共享”,优化底部小白条
- Streacom 推出 SG10 高端被动散热机箱:可解热 600W,1300 美元
- 3D 角色扮演策略游戏《少女前线 2:追放》公测开启,安卓、iOS、PC 多端互通
- 新能源车市:价格战开局,价值战结束
- 雪天这样拍,照片更为味道
- Cybertruck:未来物种重新定义汽车
- 2022 年我国未成年网民规模突破 1.93 亿,普及率达 97.2%
- 上映 7 天,《名侦探柯南:黑铁的鱼影》内地票房破亿、豆瓣 6.6 分
- 小岛工作室推出《死亡搁浅》联名手机手柄,预计明年发售