Công ty trí tuệ nhân tạo (AI) Hugging Face hôm thứ Sáu tiết lộ rằng họ đã phát hiện truy cập trái phép vào nền tảng Spaces của mình vào đầu tuần này.
"Chúng tôi nghi ngờ rằng một tập hợp con các bí mật của Spaces có thể đã bị truy cập mà không được phép", công ty cho biết trong một lời khuyên.
Spaces cung cấp một cách để người dùng tạo, lưu trữ và chia sẻ các ứng dụng AI và máy học (ML). Nó cũng hoạt động như một dịch vụ khám phá để tra cứu các ứng dụng AI được tạo bởi những người dùng khác trên nền tảng.
Đáp lại sự kiện bảo mật, Hugging Space cho biết họ đang thực hiện bước thu hồi một số mã thông báo HF có trong những bí mật đó và thông báo cho người dùng đã bị thu hồi mã thông báo qua email.
"Chúng tôi khuyên bạn nên làm mới bất kỳ khóa hoặc mã thông báo nào và xem xét chuyển đổi mã thông báo HF của bạn sang mã thông báo truy cập chi tiết là mặc định mới", nó nói thêm.
Tuy nhiên, Hugging Face không tiết lộ có bao nhiêu người dùng bị ảnh hưởng bởi vụ việc, hiện đang được điều tra thêm. Nó cũng đã cảnh báo các cơ quan thực thi pháp luật và cơ quan bảo vệ dữ liệu về vi phạm.
Sự phát triển này diễn ra khi sự phát triển bùng nổ của lĩnh vực AI đã đưa các nhà cung cấp dịch vụ AI như một dịch vụ (AIaaS) như Hugging Face vào tầm ngắm của những kẻ tấn công, những người có thể khai thác chúng cho mục đích xấu.
Vào đầu tháng Tư, công ty bảo mật đám mây Wiz đã trình bày chi tiết các vấn đề bảo mật trong Hugging Face có thể cho phép kẻ thù truy cập chéo người thuê và đầu độc các mô hình AI / ML bằng cách tiếp quản các đường ống tích hợp liên tục và triển khai liên tục (CI / CD).
Nghiên cứu trước đây được thực hiện bởi HiddenLayer cũng phát hiện ra các lỗ hổng trong dịch vụ chuyển đổi Hugging Face Safetensors cho phép chiếm quyền điều khiển các mô hình AI do người dùng gửi và thực hiện các cuộc tấn công chuỗi cung ứng.
"Nếu một tác nhân độc hại xâm phạm nền tảng của Hugging Face, họ có khả năng có quyền truy cập vào các mô hình, bộ dữ liệu và ứng dụng AI riêng tư, dẫn đến thiệt hại trên diện rộng và rủi ro chuỗi cung ứng tiềm ẩn", các nhà nghiên cứu của Wiz lưu ý vào tháng Tư.