上周五，世界最大的开源AI社区Hugging Face表示，上周的早些时候，其Spaces平台遭到了黑客入侵，其部分用户认证令牌可能已泄露。

据了解，Hugging Face Spaces是一个为用户提供创建、托管及共享人工智能和机器学习应用的平台，同时还提供发现服务，供用户查找平台上其他用户制作的人工智能应用程序。

Hugging Face在其官网公告中警告说：“本周早些时候，我们的安全团队发现了对Spaces平台的未经授权访问，特别是与Spaces机密相关的访问。因此，我们怀疑Spaces的部分机密（即作为解锁如账户、工具和开发环境等受保护资源的关键私密信息）可能已被未经授权访问。”

Hugging Face表示，他们已经撤销了可能泄露的认证令牌，并已通过电子邮件通知受影响的用户。他们建议所有Hugging Face Spaces用户刷新其令牌并考虑切换到细粒度访问令牌——这允许组织更严格地控制谁可以访问他们的AI模型。

该公司目前正在与外部网络安全专家合作调查此次入侵，并向执法部门和数据保护机构报告此事件。该AI平台还表示，由于此次事件，他们过去几天一直在加强安全措施：

“在过去几天里，我们已经对Spaces基础设施的安全性进行了其他重大改进，包括完全删除了org令牌（增加了可追溯性和审计功能），为Spaces实施了密钥管理服务（KMS），加强并扩展了我们系统识别泄漏令牌并主动作废的能力，以及在各方面都普遍提高了我们的安全性。我们还计划在不久的将来完全废弃‘经典’读写令牌。”

值得注意的是，随着Hugging Face愈加流行，它也逐渐成为了恶意活动的目标。在今年2月，网络安全公司JFrog发现了大约100个恶意AI机器学习模型实例（用于在受害者的设备上执行恶意代码）。以及今年4月初，云安全公司Wiz也详细介绍了Hugging Face存在的一个安全问题——可能允许攻击者上传自定义模型并利用容器逃逸来获取跨租户访问权限。

编辑：左右里

资讯来源：Hugging Face

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课