Siber güvenlik araştırmacıları, Hugging Face Safetensors dönüştürme hizmetinin tehlikeye atılarak kullanıcılar tarafından gönderilen modellerin ele geçirilmesinin ve tedarik zinciri saldırılarına yol açmasının mümkün olduğunu buldu.
HiddenLayer geçen hafta yayınlanan bir raporda, “Hugging Face hizmetinden saldırgan tarafından kontrol edilen verilerle platformdaki herhangi bir depoya kötü niyetli çekme istekleri göndermek ve ayrıca dönüştürme hizmeti aracılığıyla gönderilen herhangi bir modeli ele geçirmek mümkün.” dedi.
Bu da, hizmet tarafından dönüştürülmesi amaçlanan ele geçirilmiş bir model kullanılarak gerçekleştirilebilir, böylece kötü niyetli aktörlerin, dönüşüm botu kılığına girerek platformdaki herhangi bir depoda değişiklik talep etmelerine olanak sağlanır.
Hugging Face, kullanıcıların önceden eğitilmiş makine öğrenimi modellerini ve veri kümelerini barındırmasının yanı sıra bunları oluşturmasına, dağıtmasına ve eğitmesine yardımcı olan popüler bir işbirliği platformudur.
Safetensors, muhtemelen tehdit aktörleri tarafından rastgele kod yürütmek ve Cobalt Strike, Mythic ve Metasploit hazırlayıcılarını dağıtmak için silah haline getirilen turşuların aksine, şirket tarafından tensörleri depolamak için güvenliği göz önünde bulundurarak tasarlanmış bir formattır.
Ayrıca, kullanıcıların herhangi bir PyTorch modelini (örn. turşu) bir çekme isteği aracılığıyla Safetensor eşdeğerine dönüştürmesine olanak tanıyan bir dönüştürme hizmetiyle birlikte gelir.
HiddenLayer’ın bu modüle ilişkin analizi, bir saldırganın, kötü amaçlı bir PyTorch ikili programı kullanarak barındırılan dönüştürme hizmetini ele geçirmesinin ve onu barındıran sistemin güvenliğini tehlikeye atmasının varsayımsal olarak mümkün olduğunu buldu.
Dahası, çekme isteğini oluşturmak için tasarlanmış resmi bir bot olan SSFConvertbot ile ilişkili token, sitedeki herhangi bir depoya kötü niyetli bir çekme isteği göndermek üzere sızdırılabilir ve bu da bir tehdit aktörünün modeli kurcalayıp implante edebileceği bir senaryoya yol açabilir. sinirsel arka kapılar.
Araştırmacılar Eoin Wickens ve Kasimir Schulz, “Bir saldırgan, birisi modelini dönüştürmeye çalıştığında herhangi bir rastgele kodu çalıştırabilir” dedi. “Kullanıcıya herhangi bir belirti olmadan, modelleri dönüşüm sırasında ele geçirilebilir.”
Bir kullanıcının kendi özel deposunu dönüştürmeye çalışması durumunda, saldırı Hugging Face tokeninin çalınmasına, dahili modellere ve veri kümelerine erişmesine ve hatta bunları zehirlemesine yol açabilir.
İşleri daha da karmaşık hale getiren bir saldırgan, herhangi bir kullanıcının, yaygın olarak kullanılan bir modeli ele geçirmek veya değiştirmek için halka açık bir depoya dönüştürme isteği gönderebilmesinden yararlanabilir ve bu da potansiyel olarak önemli bir tedarik zinciri riskine yol açabilir.
Araştırmacılar, “Hugging Face ekosistemindeki makine öğrenimi modellerini güvence altına almaya yönelik en iyi niyete rağmen, dönüştürme hizmetinin savunmasız olduğu kanıtlandı ve Hugging Face resmi hizmeti aracılığıyla yaygın bir tedarik zinciri saldırısına neden olma potansiyeline sahip oldu” dedi.
“Bir saldırgan, hizmeti çalıştıran konteynere bir yer edinebilir ve hizmet tarafından dönüştürülen herhangi bir modeli tehlikeye atabilir.”
Bu gelişme, Trail of Bits’in Apple, Qualcomm, AMD ve Imagination genel amaçlı grafik işleme birimlerinden verilerin kurtarılmasına olanak sağlayan bir güvenlik açığı olan LeftoverLocals’ı (CVE-2023-4969, CVSS puanı: 6,5) açıklamasından bir aydan biraz daha uzun bir süre sonra gerçekleşti ( GPGPU’lar).
İşlem belleğinin yeterince yalıtılmamasından kaynaklanan bellek sızıntısı kusuru, yerel bir saldırganın, başka bir kullanıcının büyük bir dil modeli (LLM) ile etkileşimli oturumu da dahil olmak üzere diğer işlemlerden belleği okumasına olanak tanır.
Güvenlik araştırmacıları Tyler Sorensen ve Heidy Khlaaf, “Bu veri sızıntısı, özellikle yerel belleğin model girişlerini, çıkışlarını ve ağırlıklarını depolamak için kullanıldığı ML sistemlerinin yükselişi göz önüne alındığında ciddi güvenlik sonuçlarına yol açabilir” dedi.