近日,云安保提供商 Wiz 发现上行到 Hugging Face 的生成式 AI 模型存在两个关键的架构毛病。
在最新宣布的一篇博文中,Wiz Research 形容了这两个毛病及其或许给 AI 即服务提供商带来的风险。
共享推理基础设备接收风险
在剖析上行到 Hugging Face 上的几个 AI 模型时,Wiz 的钻研人员发现其中一些模型在共享推理基础设备。
在生成式 AI 中,推理指的是依据先前训练的模型和输入数据启动预测或决策的模型。
推理基础设备准许口头 AI 模型,可以是 "边缘"(如 Transformers.js)、经过运行编程接口(API)或依照推理即服务(Inference-as-a-Service)形式(如 Hugging Face 的推理端点)。
Wiz 钻研人员发现,推理基础设备经常运转经常使用 'pickle' 格局的不受信赖的、潜在恶意的模型。'pickle' 格局的 AI 模型是经常使用 Python pickle 模块保留的训练模型的序列化紧缩版本,比存储原始训练数据更紧凑、占用空间更少。
然而,恶意的 pickle 序列化模型或许蕴含远程代码口头有效载荷,使攻打者的权限更新并跨租户访问其余客户的模型。
共享继续集成和继续部署(CI/CD)接收风险
继续集成和继续部署(CI/CD)管道是一种智能化软件开发上班流程,可简化运行程序的构建、测试和部署环节。
它实质上是将原本须要手动成功的步骤智能化,从而放慢颁布速度并缩小失误。
Wiz 钻研人员发现,攻打者或许会试图接收 CI/CD 管道自身,并动员供应链攻打。
AI基础设备风险的潜在应用方式
在这篇博文中,Wiz 还形容了攻打者或许应用这两种风险的一些方法,包括:
Wiz 钻研人员还经过应用 Hugging Face 上的已命名基础设备破绽展现了对云中经常使用的生成式AI模型的攻打。
Wiz 钻研人员发现,Hugging Face 平台上的生成式 AI 模型在收到恶意预设关键词(后门)时会口头命令。
缺乏审核 AI 模型完整性的工具
Wiz 解释称,目前只要极少数工具可用于审核特定模型的完整性,并验证其确实没有恶意行为。不过,Hugging Face 提供的 Pickle Scanning 可以协助验证 AI 模型。
另外,开发人员和工程师在下载模型时必定十分审慎。经常使用不受信赖的 AI 模型或许会给运行程序带来完整性和安保风险,相当于运行程序中蕴含不受信赖的代码。
Wiz 钻研人员强调,这些风险并非 Hugging Face 所独有,它们代表了许多 AI 即服务公司将面临的租户分别应战。思索到这些公司运转客户代码和处置少量数据的形式,它们的增长速度超越以往任何行业,安保界应该与这些公司亲密协作,确保建设安保基础设备和防护措施,同时不会阻碍公司迅速增长。