Chiều muộn thứ Sáu, khoảng thời gian mà các công ty thường dành cho những tiết lộ không hay ho, công ty khởi nghiệp AI Hugging Face cho biết nhóm bảo mật của họ vào đầu tuần này đã phát hiện “quyền truy cập trái phép” vào Spaces, nền tảng của Hugging Face để tạo, chia sẻ và lưu trữ các mô hình và tài nguyên AI.
Trong một bài đăng trên blog, Ôm Mặt nói rằng vụ xâm nhập liên quan đến bí mật của Spaces hoặc các phần thông tin riêng tư đóng vai trò là chìa khóa để mở khóa các tài nguyên được bảo vệ như tài khoản, công cụ và môi trường nhà phát triển, đồng thời có “sự nghi ngờ” rằng một số bí mật có thể đã xâm nhập. bị bên thứ ba truy cập trái phép.
Để đề phòng, Ôm Mặt đã thu hồi một số token trong những bí mật đó. (Mã thông báo được sử dụng để xác minh danh tính.) Hugging Face cho biết những người dùng có mã thông báo bị thu hồi đã nhận được thông báo qua email và khuyến nghị tất cả người dùng “làm mới bất kỳ khóa hoặc mã thông báo nào” và xem xét chuyển sang mã thông báo truy cập chi tiết hơn, đó là Hugging Xác nhận khuôn mặt sẽ an toàn hơn.
Hiện chưa rõ có bao nhiêu người dùng hoặc ứng dụng bị ảnh hưởng bởi vi phạm tiềm ẩn.
“Chúng tôi đang làm việc với các chuyên gia điều tra an ninh mạng bên ngoài để điều tra vấn đề cũng như xem xét các chính sách và quy trình bảo mật của chúng tôi. Chúng tôi cũng đã báo cáo vụ việc này cho các cơ quan thực thi pháp luật và Cơ quan quản lý dữ liệu. [sic] cơ quan bảo vệ”, Ôm Mặt viết trong bài đăng. “Chúng tôi vô cùng hối tiếc về sự gián đoạn mà sự cố này có thể đã gây ra và hiểu được sự bất tiện mà nó có thể gây ra cho bạn. Chúng tôi cam kết sử dụng điều này như một cơ hội để tăng cường an ninh cho toàn bộ cơ sở hạ tầng của chúng tôi.”
Trong một tuyên bố gửi qua email, người phát ngôn của Ôm mặt nói với TechCrunch:
“Chúng tôi nhận thấy số lượng các cuộc tấn công mạng tăng lên đáng kể trong vài tháng qua, có thể là do mức độ sử dụng của chúng tôi tăng lên đáng kể và AI đang trở nên phổ biến hơn. Về mặt kỹ thuật, rất khó để biết có bao nhiêu bí mật không gian đã bị xâm phạm.”
Vụ hack Spaces có thể xảy ra với cái tên Hugging Face, một trong những nền tảng lớn nhất dành cho các dự án khoa học dữ liệu và AI hợp tác với hơn một triệu mô hình, bộ dữ liệu và ứng dụng hỗ trợ AI, đang phải đối mặt với sự giám sát ngày càng tăng đối với các hoạt động bảo mật của nó.
Vào tháng 4, các nhà nghiên cứu tại công ty bảo mật đám mây Wiz đã tìm thấy một lỗ hổng – kể từ khi được sửa – cho phép kẻ tấn công thực thi mã tùy ý trong thời gian xây dựng ứng dụng được lưu trữ trên máy chủ Hugging Face, cho phép chúng kiểm tra kết nối mạng từ máy của họ. Đầu năm nay, công ty bảo mật JFrog đã phát hiện ra bằng chứng cho thấy mã được tải lên Hugging Face đã bí mật cài đặt các cửa sau và các loại phần mềm độc hại khác trên máy của người dùng cuối. Và công ty khởi nghiệp bảo mật HiddenLayer đã xác định các cách mà định dạng tuần tự có vẻ an toàn hơn của Hugging Face, Safetensors, có thể bị lạm dụng để tạo ra các mô hình AI bị phá hoại.
Hugging Face gần đây cho biết họ sẽ hợp tác với Wiz để sử dụng các công cụ cấu hình môi trường đám mây và quét lỗ hổng của công ty “với mục tiêu cải thiện tính bảo mật trên nền tảng của chúng tôi và hệ sinh thái AI/ML nói chung”.