Sleepy Pickle - Mối đe dọa mới đối với các mô hình Machine Learning

- Gần đây, định dạng Pickle đang gây lo ngại về an toàn thông tin với phát hiện về kỹ thuật tấn công mới "Sleepy Pickle".

Pickle thường được dùng để tuần tự hóa và phân phối mô hình học máy (ML), trở thành mục tiêu hấp dẫn cho các cuộc tấn công vì có thể bị lợi dụng để thực thi mã tùy ý khi giải tuần tự hóa. Các chuyên gia khuyến nghị người dùng chỉ nên tải mô hình từ nguồn tin cậy, sử dụng các mô hình có chữ ký số hoặc chuyển đổi từ các định dạng an toàn như Jax với cơ chế from_tf=True.

"Sleepy Pickle" là một kỹ thuật tấn công đặc biệt nhắm vào mô hình học máy bằng cách chèn payload độc hại vào file Pickle. Quá trình này thường được thực hiện thông qua các công cụ mã nguồn mở như Fickling. Sau đó, file Pickle độc hại này được phát tán đến nạn nhân thông qua nhiều phương pháp khác nhau, bao gồm:

- Adversary-in-the-Middle (AitM): Đối tượng tấn công đứng giữa quá trình truyền dữ liệu để chỉnh sửa hoặc chèn payload vào.

- Phishing: Dụ dỗ người dùng mở file Pickle độc hại qua email hoặc tin nhắn giả mạo. Xâm nhập chuỗi cung ứng: Chèn mã độc vào các file hợp lệ trong quá trình phân phối.

- Khai thác lỗ hổng hệ thống: Sử dụng các lỗ hổng bảo mật để tải file Pickle độc hại lên hệ thống mục tiêu.

Trong các kịch bản tấn công giả định, kỹ thuật "Sleepy Pickle" có thể dẫn đến những hậu quả nghiêm trọng. Ví dụ, nó có thể tạo ra những kết quả đầu ra độc hại hoặc thông tin sai lệch, như khuyên người dùng uống thuốc tẩy để chữa bệnh cúm, gây nguy hiểm đến tính mạng. Ngoài ra, kỹ thuật này cũng có thể được sử dụng để đánh cắp dữ liệu người dùng khi các điều kiện nhất định được đáp ứng, hoặc tấn công gián tiếp thông qua việc tạo ra các bản tóm tắt tin tức giả mạo có chứa liên kết dẫn đến các trang lừa đảo.

"Sleepy Pickle" đặc biệt nguy hiểm vì nó cho phép kẻ tấn công duy trì quyền truy cập ẩn vào hệ thống ML. Mô hình bị lây nhiễm trong quá trình file Pickle được nạp vào Python, khiến kỹ thuật này hiệu quả hơn so với việc trực tiếp tải lên mô hình độc hại lên các nền tảng như Hugging Face. Điều này cho phép kẻ tấn công thay đổi hoạt động của mô hình hoặc kết quả tạo ra một cách linh hoạt mà không cần phải thuyết phục người dùng tải xuống và thực thi mô hình độc hại.

Ngoài "Sleepy Pickle", còn có một biến thể khác được gọi là "Sticky Pickle". Biến thể này thậm chí còn tinh vi hơn khi nó tích hợp một cơ chế tự sao chép, giúp duy trì sự hiện diện của payload độc hại trong các phiên bản mới của mô hình bị xâm nhập. Sticky Pickle sử dụng kỹ thuật làm mờ mã để tránh bị phát hiện bởi các công cụ quét file Pickle. Nhờ đó, ngay cả khi người dùng chỉnh sửa mô hình bị xâm nhập và phân phối lại nó qua một file Pickle mới, mã độc vẫn có thể tồn tại và tiếp tục tấn công.

Để phòng chống các cuộc tấn công như "Sleepy Pickle" và các cuộc tấn công chuỗi cung ứng khác, các chuyên gia khuyến nghị tránh sử dụng file Pickle để phân phối mô hình đã tuần tự hóa. Thay vào đó, chỉ nên sử dụng các mô hình từ các tổ chức đáng tin cậy và dựa vào các định dạng tệp an toàn hơn như SafeTensors. Việc tuân theo các khuyến nghị này sẽ giúp giảm thiểu rủi ro và bảo vệ hệ thống học máy khỏi các mối đe dọa tiềm ẩn.