Jumat sore, waktu yang biasanya disediakan perusahaan untuk pengungkapan yang tidak menyenangkan, startup AI Hugging Face mengatakan bahwa tim keamanannya awal pekan ini mendeteksi “akses tidak sah” ke Spaces, platform Hugging Face untuk membuat, berbagi, dan menghosting model dan sumber daya AI.
Di dalam postingan blogHugging Face mengatakan bahwa intrusi terkait dengan rahasia Spaces, atau informasi pribadi yang bertindak sebagai kunci untuk membuka sumber daya yang dilindungi seperti akun, alat, dan lingkungan pengembang, dan memiliki “kecurigaan” bahwa beberapa rahasia dapat diakses oleh pihak ketiga tanpa izin. .
Sebagai tindakan pencegahan, Hugging Face telah membatalkan beberapa token secara rahasia. (Token digunakan untuk memverifikasi identitas.) Hugging Face mengatakan bahwa pengguna yang tokennya telah dicabut telah menerima pemberitahuan email dan merekomendasikan agar semua pengguna “memuat ulang kunci atau token apa pun” dan mempertimbangkan untuk beralih ke token akses terperinci, yang menurut Hugging Face Face lebih aman .
Belum jelas berapa banyak pengguna atau aplikasi yang terkena dampak kemungkinan pelanggaran ini. Kami telah menghubungi Hugging Face untuk informasi lebih lanjut dan akan memperbarui postingan ini jika kami mendengarnya kembali.
“Kami bekerja sama dengan pakar forensik keamanan siber eksternal untuk menyelidiki masalah ini dan meninjau kebijakan dan prosedur keamanan kami. Kami juga telah melaporkan kejadian ini kepada penegak hukum dan lembaga data [sic] otoritas perlindungan,” tulis Hugging Face di postingan tersebut. “Kami sangat menyesali gangguan yang mungkin ditimbulkan oleh insiden ini dan memahami ketidaknyamanan yang mungkin ditimbulkan pada Anda. Kami berjanji untuk menggunakan ini sebagai peluang untuk memperkuat keamanan seluruh infrastruktur kami.”
Kemungkinan peretasan Spaces terjadi ketika Hugging Face, yang merupakan salah satu platform terbesar untuk AI, pembelajaran mesin, dan ilmu data dengan lebih dari satu juta model, kumpulan data, dan aplikasi yang didukung AI, menghadapi peningkatan pengawasan atas praktik keamanannya.
Pada bulan April, para peneliti di perusahaan keamanan cloud Wiz menemukan a kelemahan — sejak ditetapkan — yang akan memungkinkan penyerang mengeksekusi kode arbitrer selama waktu pembuatan aplikasi yang dihosting Face Hug sehingga memungkinkan mereka memeriksa koneksi jaringan dari mesin mereka. Awal tahun ini, perusahaan keamanan JFrog terungkap bukti bahwa kode yang diunggah ke Hugging Face secara diam-diam memasang pintu belakang dan jenis malware lainnya di mesin pengguna akhir. Dan startup keamanan HiddenLayer mengidentifikasi bagaimana format serial Face Hugging yang tampaknya lebih aman, Safetensors, dapat melakukannya disalahgunakan untuk membuat model AI yang disabotase.
Memeluk Wajah baru-baru ini berkata bahwa mereka akan bekerja sama dengan Wiz untuk menggunakan pemindaian kerentanan dan alat konfigurasi lingkungan cloud milik perusahaan “dengan tujuan meningkatkan keamanan di seluruh platform kami dan ekosistem AI/ML secara umum.”