AI platformu Hugging Face, Spaces platformunun ihlal edildiğini ve bilgisayar korsanlarının üyeleri için kimlik doğrulama sırlarına erişmesine izin verdiğini söylüyor.
Hugging Face Spaces, topluluğun kullanıcıları tarafından oluşturulan ve gönderilen, diğer üyelerin bunları tanıtmasına olanak tanıyan bir yapay zeka uygulamaları deposudur.
Hugging Face bir blog yazısında, “Bu haftanın başlarında ekibimiz Spaces platformumuza, özellikle Spaces sırlarıyla ilgili, yetkisiz erişim tespit etti” diye uyardı.
“Sonuç olarak, Spaces’ın sırlarının bir alt kümesine izinsiz olarak erişilebileceğine dair şüphelerimiz var.”
Hugging Face, ele geçirilen sırlardaki kimlik doğrulama belirteçlerini zaten iptal ettiklerini ve e-postadan etkilenenleri bilgilendirdiklerini söylüyor.
Bununla birlikte, tüm Hugging Face Spaces kullanıcılarının jetonlarını yenilemelerini ve ayrıntılı erişim jetonlarına geçmelerini öneriyorlar; bu da kuruluşların AI modellerine kimin erişebileceği konusunda daha sıkı kontrole sahip olmalarını sağlıyor.
Şirket, ihlali araştırmak ve olayı kolluk kuvvetlerine ve veri koruma kurumlarına bildirmek için harici siber güvenlik uzmanlarıyla birlikte çalışıyor.
AI platformu, olay nedeniyle son birkaç gündür güvenliği sıkılaştırdıklarını söylüyor.
“Geçtiğimiz birkaç gün içinde, Spaces altyapısının güvenliği konusunda, kuruluş belirteçlerinin tamamen kaldırılması (izlenebilirlik ve denetim yeteneklerinin artmasıyla sonuçlanan), Spaces sırları için anahtar yönetim hizmetinin (KMS) uygulanması, güçlendirilmesi ve genişletilmesi de dahil olmak üzere diğer önemli iyileştirmeler yaptık. sistemimizin sızdırılan belirteçleri tespit etme ve bunları proaktif olarak geçersiz kılma yeteneği ve daha genel olarak güvenliğimizi genel olarak iyileştirme Ayrıca, ayrıntılı erişim belirteçleri özelliğine ulaşır ulaşmaz, yakın gelecekte “klasik” okuma ve yazma belirteçlerini tamamen kullanımdan kaldırmayı planlıyoruz. Parite ile ilgili olası olayları araştırmaya devam edeceğiz.”
❖ Sarılma Yüzü
Hugging Face’in popülaritesi arttıkça, onu kötü niyetli faaliyetlerle kötüye kullanmaya çalışan tehdit aktörlerinin de hedefi haline geldi.
Şubat ayında siber güvenlik firması JFrog, kurbanın makinesinde kötü amaçlı kod yürütmek için kullanılan kötü amaçlı AI ML modellerinin yaklaşık 100 örneğini buldu. Modellerden biri, uzaktan tehdit aktörünün kodu çalıştıran bir cihaza erişmesine olanak tanıyan bir ters kabuk açtı.
Yakın zamanda Wiz’deki güvenlik araştırmacıları, özel modeller yüklemelerine ve diğer müşterilerin modellerine kiracılar arası erişim sağlamak için konteyner kaçışlarından yararlanmalarına olanak tanıyan bir güvenlik açığı keşfetti.