A mesterséges intelligencia térhódításával, állandóan nő a téma iránt érdeklődök közössége. A folyamat negatív mellékhatásaként fejlesztők és felhasználók is sűrűbben lesznek kiszolgáltatva hackertámadásoknak.
A New York-i székhelyű francia-amerikai Hugging Face számítási eszközöket fejleszt gépi tanulást használó alkalmazásokhoz. Főként a természetesnyelv-feldolgozó applikációkhoz készült transzformer könyvtáráról, valamint a felhasználóknak gépitanulás-modelljeik és adatkészleteik megosztására, munkáik bemutatására lehetőséget biztosító platformjáról ismert. Az MI-adattár értelemszerűen nyílt forrású (open source).
Rések, kockázatok
A JFrog szoftvercég biztonsági szakemberei azonban megkongatták a vészharangokat, mert megállapították, hogy a platformon lévő modellek megtámadhatják a felhasználók eszközeit. Egy másik csoport a Hugging Face egyik biztonsági funkciójáról derítette ki, hogy sebezhető.
A JFrog szkennelt modelleket fejlesztett a Hugging Face-en ismert támadásokhoz. Körülbelül száz aggodalomra okot adó modellt figyeltek meg, címkéztek fel. A cég ugyanakkor elismerte, hogy ezeket más biztonsági kutatók is feltölthették, tehát lehet, hogy ebben az esetben, veszélytelenek. A kockázat mindenesetre valós.
A felcímkézett modellek mintegy fele volt képes a felhasználók gépein lévő objektumokat eltéríteni, manipulálni, húsz százalékuk pedig távolról is hozzáfér az érintett komputeréhez, okostelefonjához, eszközeihez. A modellek 95 százaléka PyTorch-csal készült, a maradék pedig a TensorFlow Keras-án alapul.
Egy azóta törölt modell például kihasználta a Pickle sebezhetőségét. Az objektumokat lista vagy tömb alapján sorba, bájt-folyammá rendezi, majd újrakezdi az egészet.
A támadók mindig gyorsabbak?
A JFrogtól különálló HiddenLayer biztonsági startup bemutatta, hogyan támadható meg eredményesen az adattömbök nagyobb biztonságát garantáló Pickle-alternatívát kínáló Safetensors. A kutatók a Safetensors konverziós botját utánzó, rosszindulatú PyTorch-modellt építettek. Így a támadó a Safetensors-botnak biztonsági engedélyeket megadó bármely modellnek lehívási kérelmeket küldözgethet. Lehetővé válik tetszőleges kód végrehajtása, megnézheti az összes adattárat, modell-súlyokat és más adatokat. Lényegében helyettesíti a felhasználó modelljeit.
A Hugging Face csomó biztonsági intézkedést ültetett át a gyakorlatba. A legtöbb esetben felcímkézi a potenciális kockázatokat, az oldalról viszont nem tüntet el modelleket. A felhasználók saját kockázatukra töltenek fel bármit is, és a legnagyobb veszély, ha önkéntelenül is elérhetővé teszik a saját adataikat.
(Képek: DeepLearning.AI)