Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng có thể xâm phạm dịch vụ chuyển đổi Hugging Face Safetensors để cuối cùng chiếm quyền điều khiển các mô hình do người dùng gửi và dẫn đến các cuộc tấn công chuỗi cung ứng.
"Có thể gửi các yêu cầu kéo độc hại với dữ liệu do kẻ tấn công kiểm soát từ dịch vụ Hugging Face đến bất kỳ kho lưu trữ nào trên nền tảng, cũng như chiếm quyền điều khiển bất kỳ mô hình nào được gửi qua dịch vụ chuyển đổi", HiddenLayer cho biết trong một báo cáo được công bố tuần trước.
Điều này, đến lượt nó, có thể được thực hiện bằng cách sử dụng một mô hình bị tấn công có nghĩa là được chuyển đổi bởi dịch vụ, do đó cho phép các tác nhân độc hại yêu cầu thay đổi bất kỳ kho lưu trữ nào trên nền tảng bằng cách giả mạo là bot chuyển đổi.
Hugging Face là một nền tảng cộng tác phổ biến giúp người dùng lưu trữ các mô hình và bộ dữ liệu học máy được đào tạo trước, cũng như xây dựng, triển khai và đào tạo chúng.
Safetensors là một định dạng do công ty nghĩ ra để lưu trữ các tensor lưu ý đến bảo mật, trái ngược với dưa chua, có khả năng được vũ khí hóa bởi các tác nhân đe dọa để thực thi mã tùy ý và triển khai các giai đoạn Cobalt Strike, Mythic và Metasploit.
Nó cũng đi kèm với một dịch vụ chuyển đổi cho phép người dùng chuyển đổi bất kỳ mô hình PyTorch nào (tức là dưa chua) sang Safetensor tương đương thông qua yêu cầu kéo.
Phân tích của HiddenLayer về mô-đun này cho thấy theo giả thuyết kẻ tấn công có thể chiếm quyền điều khiển dịch vụ chuyển đổi được lưu trữ bằng cách sử dụng tệp nhị phân PyTorch độc hại và xâm phạm hệ thống lưu trữ nó.
Hơn nữa, mã thông báo được liên kết với SFConvertbot – một bot chính thức được thiết kế để tạo yêu cầu kéo – có thể được trích xuất để gửi yêu cầu kéo độc hại đến bất kỳ kho lưu trữ nào trên trang web, dẫn đến kịch bản tác nhân đe dọa có thể giả mạo mô hình và cấy ghép các cửa hậu thần kinh.
"Kẻ tấn công có thể chạy bất kỳ mã tùy ý nào bất cứ khi nào ai đó cố gắng chuyển đổi mô hình của họ", các nhà nghiên cứu Eoin Wickens và Kasimir Schulz lưu ý. "Không có bất kỳ dấu hiệu nào cho chính người dùng, các mô hình của họ có thể bị tấn công khi chuyển đổi."
Nếu người dùng cố gắng chuyển đổi kho lưu trữ riêng của họ, cuộc tấn công có thể mở đường cho hành vi trộm cắp mã thông báo Hugging Face của họ, truy cập các mô hình và bộ dữ liệu nội bộ và thậm chí đầu độc chúng.
Vấn đề phức tạp hơn nữa, kẻ thù có thể lợi dụng thực tế là bất kỳ người dùng nào cũng có thể gửi yêu cầu chuyển đổi cho kho lưu trữ công khai để chiếm quyền điều khiển hoặc thay đổi mô hình được sử dụng rộng rãi, có khả năng dẫn đến rủi ro chuỗi cung ứng đáng kể.