- Thứ Sáu vừa qua, công ty trí tuệ nhân tạo (AI) Hugging Face tiết lộ rằng họ đã phát hiện hành vi truy cập trái phép vào nền tảng Spaces của mình vào đầu tuần.
“Chúng tôi nghi ngờ rằng một tập con dữ liệu bí mật của Spaces có thể đã bị truy cập trái phép”, công ty cho biết. Spaces cung cấp các tính năng giúp người dùng tạo, lưu trữ và chia sẻ các ứng dụng AI và học máy (ML). Nó cũng hoạt động như một dịch vụ khám phá để tra cứu các ứng dụng AI do người dùng khác tạo trên nền tảng này.
Hugging Space cho biết họ đang tiến hành thu hồi một số HF token đã bị lộ và sẽ thông báo cho những người dùng bị thu hồi token qua email.
Công ty cho biết thêm rằng: “Chúng tôi khuyến nghị bạn nên thay đổi bất kỳ khóa (key) hoặc token cũng như xem xét chuyển đổi HF token hiện tại sang các fine-grained access token (token cho phép truy cập đến tài nguyên cụ thể), điều này cũng được áp dụng trong cấu hình mặc định mới”.
Hugging Face chưa tiết lộ có bao nhiêu người dùng bị ảnh hưởng bởi sự cố này. Công ty đã báo cáo sự việc cho các cơ quan thực thi pháp luật và cơ quan bảo vệ dữ liệu. Diễn biến này xảy ra khi sự phát triển bùng nổ của lĩnh vực AI đã đưa các nhà cung cấp dịch vụ AI (AIaaS) như Hugging Face vào tầm ngắm của những kẻ tấn công.
Trước đó, vào đầu tháng 4, công ty bảo mật cloud Wiz đã tiết lộ chi tiết các vấn đề bảo mật trong Hugging Face có thể cho phép kẻ tấn công có được quyền truy cập của nhiều người thuê và đầu độc các mô hình AI/ML bằng cách chiếm quyền kiểm soát các quy trình tích hợp và triển khai liên tục (CI/CD).
Nghiên cứu trước đây do HiddenLayer thực hiện cũng đã phát hiện các lỗ hổng trong dịch vụ chuyển đổi Hugging Face Safetensors, khiến cho việc chiếm quyền điều khiển các mô hình AI do người dùng gửi và thực hiện các cuộc tấn công chuỗi cung ứng trở nên khả thi.
Các nhà nghiên cứu của Wiz lưu ý rằng: “Nếu một tác nhân độc hại xâm phạm nền tảng của Hugging Face, họ có thể có quyền truy cập vào các mô hình AI bí mật, các tập dữ liệu và ứng dụng quan trọng, dẫn đến nguy cơ gây thiệt hại trên diện rộng và rủi ro cho chuỗi cung ứng”.
PV (theo thehackernews.com/tinhiemmang.vn)