La plate-forme d’IA Hugging Face affirme que sa plate-forme Spaces a été piratée, permettant aux pirates d’accéder aux secrets d’authentification de ses membres.
Hugging Face Spaces est un référentiel d’applications d’IA créées et soumises par les utilisateurs de la communauté, permettant aux autres membres de les démontrer.
« Plus tôt cette semaine, notre équipe a détecté un accès non autorisé à notre plateforme Spaces, spécifiquement lié aux secrets de Spaces », a averti Hugging Face dans un article de blog.
« En conséquence, nous soupçonnons qu’un sous-ensemble des secrets de Spaces aurait pu être consulté sans autorisation. »
Hugging Face dit qu’ils ont déjà révoqué les jetons d’authentification dans les secrets compromis et qu’ils ont informé les personnes touchées par courrier électronique.
Cependant, ils recommandent à tous les utilisateurs de Hugging Face Spaces d’actualiser leurs jetons et de passer à des jetons d’accès à grain fin, ce qui permet aux organisations d’avoir un contrôle plus strict sur qui a accès à leurs modèles d’IA.
L’entreprise travaille avec des experts externes en cybersécurité pour enquêter sur la violation et signaler l’incident aux forces de l’ordre et aux agences de protection des données.
La plate-forme d’IA dit qu’elle a renforcé la sécurité au cours des derniers jours en raison de l’incident.
« Au cours des derniers jours, nous avons apporté d’autres améliorations significatives à la sécurité de l’infrastructure Spaces, notamment la suppression complète des jetons d’organisation (entraînant une traçabilité et des capacités d’audit accrues), la mise en œuvre du service de gestion des clés (KMS) pour les secrets Spaces, la robotisation et l’extension de la capacité de notre système à identifier les jetons divulgués et à les invalider de manière proactive, et plus généralement à améliorer notre sécurité à tous les niveaux. Nous prévoyons également de déprécier complètement les jetons de lecture et d’écriture « classiques » dans un proche avenir, dès que les jetons d’accès à grain fin atteindront la parité des fonctionnalités. Nous continuerons d’enquêter sur tout éventuel incident connexe. »
❖ Visage Étreignant
Au fur et à mesure que le visage câlin gagne en popularité, il est également devenu une cible pour les acteurs de la menace, qui tentent d’en abuser pour des activités malveillantes.
En février, la société de cybersécurité JFrog a découvert environ 100 instances de modèles malveillants d’IA ML utilisés pour exécuter du code malveillant sur la machine d’une victime. L’un des modèles a ouvert un shell inversé qui permettait à un acteur de menace distant d’accéder à un périphérique exécutant le code.
Plus récemment, les chercheurs en sécurité de Wiz ont découvert une vulnérabilité qui leur permettait de télécharger des modèles personnalisés et de tirer parti des échappements de conteneurs pour obtenir un accès entre locataires aux modèles d’autres clients.