กรุณาปิด โปรแกรมบล๊อกโฆษณา เพราะเราอยู่ได้ด้วยโฆษณาที่ท่านเห็น
Please close the adblock program. Because we can live with the ads you see


ข่าว Wiz รายงานช่องโหว่บน Hugging Face สามารถส่งโมเดลเพื่อเจาะ AI ผู้ใช้งานคนอื่นได้

News 

Moderator
สมาชิกทีมงาน
Moderator
Verify member
เข้าร่วม
1 มิถุนายน 2011
ข้อความ
9,428
คะแนนปฏิกิริยา
0
คะแนน
0
Wiz บริษัทความปลอดภัยบนคลาวด์ รายงานปัญหาช่องโหว่ร้ายแรงที่พบบน Hugging Face แพลตฟอร์มโมเดล AI ซึ่งทำให้สามารถเข้าถึงข้อมูลโมเดล AI ของผู้ใช้งานคนอื่นได้

โดยทีมวิศวกรความปลอดภัยของ Wiz ได้ใช้วิธีวิศวกรรมย้อนกลับ อัปโหลดโมเดลที่เป็นอันตรายของตนเองขึ้นไปบน Hugging Face แล้วใช้โมเดลนั้นเจาะไปที่ระบบปฏิบัติการในระดับ container ทำให้สามารถเข้าถึงข้อมูลโมเดลผู้ใช้งานคนอื่นบน Hugging Face ได้

สองช่องโหว่สำคัญที่ Wiz ค้นพบ และทำให้สามารถเจาะระบบด้วยวิธีดังกล่าวได้คือส่วน AI Inference มักใช้ฟอร์แมต pickle ทำให้สามารถสั่งรันคำสั่งที่ไม่ปลอดภัยได้ และ CI/CD ก็สามารถรันข้ามกันได้ ทำให้หากส่งคำสั่งเจาะระบบแล้ว ก็สามารถคุม CI/CD ได้เลยทั้งคลัสเตอร์

ปัจจุบันช่องโหว่ดังกล่าวได้ถูกรายงาน และ Hugging Face ก็ป้องกันแก้ไขไปแล้ว ซึ่ง Wiz ได้ประกาศความร่วมมือกับ Hugging Face เพื่อปรับปรุงความปลอดภัยในแพลตฟอร์มต่อไป

ที่มา: Hugging Face และ Wiz

No Description


No Description


Topics:
Hugging Face
Wiz
Cybersecurity
Artificial Intelligence

อ่านต่อ...
 

กรุณาปิด โปรแกรมบล๊อกโฆษณา เพราะเราอยู่ได้ด้วยโฆษณาที่ท่านเห็น
Please close the adblock program. Because we can live with the ads you see
กลับ
ยอดนิยม