وجد باحثو الأمن السيبراني أنه بالإمكان اختراق خدمة تحويل Hugging Face Safetensors لاستيلاء على النماذج التي تم تقديمها من قبل المستخدمين في النهاية وتنفيذ هجمات على سلسلة التوريد.
قالت تقرير HiddenLayer الذي نُشر الأسبوع الماضي: "يمكن إرسال طلبات سحب ضارة تحتوي على بيانات يمكن للمهاجم التحكم فيها من خدمة Hugging Face إلى أي مستودع على المنصة، بالإضافة إلى اختطاف أي نماذج تتم تقديمها من خلال خدمة التحويل".
يمكن تحقيق ذلك من خلال استخدام نموذج اختراق مفترض يتم تحويله عن طريق الخدمة، مما يتيح للأطراف الضارة طلب تغييرات في أي مستودع على النظام الأساسي من خلال التنكر كروبوت التحويل.
Hugging Face هي منصة تعاون شهيرة تمكن المستخدمين من استضافة نماذج الذكاء الاصطناعي ومجموعات البيانات المدربة مسبقًا، وكذلك بنائها ونشرها وتدريبها.
Safetensors هو تنسيق تم تطويره من قبل الشركة لتخزين البيانات بشكل آمن، بدلاً من الخيارات الضعيفة، والتي يمكن استغلالها من قبل المهاجمين لتنفيذ هجمات برمجية ونشر أدوات اختراق مثل Cobalt Strike وMythic وMetasploit.
تأتي خدمة التحويل مع القدرة على تحويل أي نموذج PyTorch، مثل Pickle، إلى Safetensor من خلال طلب السحب.
وجد تحليل طبقة الإخفاء لهذه الوحدة أنه بشكل نظري يمكن للمهاجم اختراق خدمة التحويل المستضافة باستخدام برنامج PyTorch الضار ثنائي الأبعاد وتهديد النظام الذي يستضيفها.
بالإضافة إلى ذلك، يمكن سحب الرمز المميز المرتبط بـ SFConvertbot - وهو روبوت رسمي تم تصميمه لإنشاء طلب السحب - لإرسال طلب سحب ضار إلى أي مستودع على الموقع، مما يؤدي إلى سيناريو يمكن فيه لممثل التهديد التلاعب بالنموذج وزرعه. تمويل الحملات الخبيثة.
أشار البحثان إيوين ويكينز وكازيمير شولز إلى أنه يمكن للمهاجم تنفيذ أي تعليمات برمجية عشوائية في أي وقت يحاول شخص ما تحويل نموذجه، مما قد يؤدي إلى اختطاف النماذج دون أن يشعر المستخدم بذلك.
عند محاولة المستخدم تحويل مستودعه الخاص، قد يتعرض للهجوم الذي يمكن أن يؤدي إلى سرقة رمز Hugging Face الخاص به والوصول إلى النماذج والمجموعات البيانات الداخلية، وحتى تسميمها.
وما يعقد الأمور أكثر، هو أن الخصم قد يستفيد من حقيقة أن أي مستخدم يمكنه تقديم طلب تحويل للمستودع العام للاختطاف أو تغيير نموذج المستخدم بشكل واسع، مما قد يؤدي إلى مخاطر كبيرة في سلسلة التوريد.
وأكد البحث أن النوايا الجيدة لضمان نماذج التعلم الآلي في نظام Hugging Face قد لا تكفي، حيث أظهرت خدمة التحويل ضعفها وقدرتها على تسبب هجوم واسع النطاق على سلسلة التوريد من خلال خدمة Hugging Face الرسمية.
يمكن للمهاجم أن يجد نقطة انطلاق في الحاوية التي تعمل على تشغيل الخدمة ويتسلل إلى أي نموذج تم تحويله بواسطة الخدمة.
بعد كشف Trail of Bits عن ثغرة أمنية تسمى LeftoverLocals (CVE-2023-4969) التي تسمح باستعادة البيانات من وحدات معالجة الرسومات للأغراض العامة من Apple وQualcomm وAMD وImagination، جاء هذا التطوير بعد أكثر من شهر.
تسرب الذاكرة الموجود في هذا النص يحدث نتيجة لفشل في عملية عزل ذاكرة العملية بشكل صحيح، مما يتيح للمهاجم القراءة من ذاكرة العمليات الأخرى بما في ذلك الجلسة التفاعلية لمستخدم آخر مع نموذج لغة كبير (LLM).
قال البحثان في مجال الأمن، تايلر سورنسن وهايدي خلاف: "يمكن أن يكون لتسريب البيانات هذا تداعيات أمنية خطيرة، خاصة مع ظهور أنظمة التعلم الآلي، حيث يتم استخدام الذاكرة المحلية لتخزين مدخلات النموذج والمخرجات والأوزان".