熱搜： 佳士科技 irobot 工業(yè)機(jī)器人機(jī)器人機(jī)器人產(chǎn)業(yè)聯(lián)盟 ABB 機(jī)械手發(fā)那科碼垛機(jī)器人機(jī)器人展覽

AI 平臺 Hugging Face 現(xiàn) API 令牌漏洞，黑客可獲取微軟、谷歌等模型庫權(quán)限

日期：2023-12-06 來源：IT之家評論：0

　　IT之家12月5日消息，安全公司Lasso Security日前發(fā)現(xiàn)AI模型平臺Hugging Face上存在API令牌漏洞，黑客可獲取微軟、谷歌、meta等公司的令牌，并能夠訪問模型庫，污染訓(xùn)練數(shù)據(jù)或竊取、修改AI模型。

　　IT之家從安全公司報(bào)道中獲悉，由于平臺的令牌信息寫死在API中，因此黑客可以直接從Hugging Face及GitHub的存儲庫（repository）獲得平臺上各模型分發(fā)者的API令牌（token），安全人員一共從上述平臺中找到1681個(gè)有效的令牌。

▲圖源安全公司Lasso Security

　　經(jīng)過一步分析資料，安全人員獲得了723家企業(yè)組織的帳號，其中包括meta、微軟、谷歌、VMware及Hugging Face官方等。其中655個(gè)令牌具有寫入權(quán)限，其中77個(gè)還能寫入多個(gè)組織，令研究人員得以全權(quán)控制多家知名公司的模型庫，例如Pythia的EleutherAI、meta Llama 2、Bloom的BigScience Workshop。

　　安全公司警告，只要黑客成功控制這些模型庫，就能發(fā)動多種攻擊。不限于最基本的竊取模型和數(shù)據(jù)集，或是污染模型本身，讓現(xiàn)有模型“夾帶私貨”，從而危害依賴這些基礎(chǔ)模型的應(yīng)用及公共設(shè)施。

　　此外，安全公司發(fā)現(xiàn)一個(gè)Hugging Face此前宣布已停用的org_api tokens存在漏洞，安全人員稍微修改了代碼，就令這款A(yù)PI“復(fù)活”，成功令研究人員下載平臺上多款不公開的模型，包括微軟的私有模型。

　　目前安全公司已經(jīng)上報(bào)相關(guān)漏洞，而微軟、meta、谷歌、VMware等公司也紛紛撤銷了此前的API令牌及暴露的token。

聲明：凡資訊來源注明為其他媒體來源的信息，均為轉(zhuǎn)載自其他媒體，并不代表本網(wǎng)站贊同其觀點(diǎn)，也不代表本網(wǎng)站對其真實(shí)性負(fù)責(zé)。您若對該文章內(nèi)容有任何疑問或質(zhì)疑，請立即與中國機(jī)器人網(wǎng)(www.baoxianwx.cn)聯(lián)系，本網(wǎng)站將迅速給您回應(yīng)并做處理。
電話：021-39553798-8007

更多>相關(guān)資訊

0 條相關(guān)評論

推薦圖文

加州大學(xué)科學(xué)家發(fā)明了	深圳又一制造業(yè)總部基
水下機(jī)器人在漁業(yè)中的	哈工程水下機(jī)器人再奪
里程碑！荊州市首臺機(jī)	超維科技精彩亮相電力

推薦資訊

點(diǎn)擊排行

?

• 百度 1200 萬美元挖“AI 教父”被拒，揭秘一場	• 新一批游戲版號獲批人工智能有望打開行業(yè)天花
• 北京再添人工智能特色產(chǎn)業(yè)園	• 昆明人工智能計(jì)算中心生態(tài)運(yùn)營初見成效
• 人工智能很快會超越人類智能？黃仁勛和LeCun意	• OpenAI首席運(yùn)營官：人工智能被夸大了，不可能一
• 深圳廣州新增人工智能企業(yè)數(shù)量居前	• 被曝泄露隱私后，現(xiàn)在要求 ChatGPT 重復(fù)一個(gè)單
• 新款豐田 Mirai 氫燃料電池汽車發(fā)布，駕駛輔助	• Meta 推出“無縫溝通”AI 翻譯模型，帶來更自然

恰佩克獎(jiǎng)	機(jī)器人高峰論壇	機(jī)氣林	ITES深圳工業(yè)展	機(jī)器人研究院	庫卡機(jī)器人	中國傳動網(wǎng)
索比光伏網(wǎng)	數(shù)控機(jī)床市場網(wǎng)	國家標(biāo)準(zhǔn)化委員會

国产精品久久久久久久小说,国产国产裸模裸模私拍视频,国产精品免费看久久久无码,风流少妇又紧又爽又丰满,国产精品,午夜福利

AI 平臺 Hugging Face 現(xiàn) API 令牌漏洞，黑客可獲取微軟、谷歌等模型庫權(quán)限