12月05日,星期二 03:45
火讯财经讯,据IT之家12月5日消息,安全公司LassoSecurity日前发现AI模型平台HuggingFace上存在API令牌漏洞,黑客可获取微软、谷歌、Meta等公司的令牌,并能够访问模型库,污染训练数据或窃取、修改AI模型。由于平台的令牌信息写死在API中,因此黑客可以直接从HuggingFace及GitHub的存储库(repository)获得平台上各模型分发者的API令牌(token),安全人员一共从上述平台中找到1681个有效的令牌。经过一步分析资料,安全人员获得了723家企业组织的帐号,其中包括Meta、微软、谷歌、VMware及HuggingFace官方等。其中655个令牌具有写入权限,其中77个还能写入多个组织,令研究人员得以全权控制多家知名公司的模型库,例如Pythia的EleutherAI、MetaLlama2、Bloom的BigScienceWorkshop。安全公司警告,只要黑客成功控制这些模型库,就能发动多种攻击。目前安全公司已经上报相关漏洞,而微软、Meta、谷歌、VMware等公司也纷纷撤销了此前的API令牌及暴露的token。