首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Hugging Face 现 API 令牌漏洞,黑客可获取微软、谷歌等模型库权限

据 IT 之家 12 月 5 日消息,安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞,黑客可获取微软、谷歌、Meta 等公司的令牌,并能够访问模型库,污染训练数据或窃取、修改 AI 模型。

由于平台的令牌信息写死在 API 中,因此黑客可以直接从 Hugging Face 及 GitHub 的存储库(repository)获得平台上各模型分发者的 API 令牌(token),安全人员一共从上述平台中找到 1681 个有效的令牌。经过一步分析资料,安全人员获得了 723 家企业组织的帐号,其中包括 Meta、微软、谷歌、VMware 及 Hugging Face 官方等。其中 655 个令牌具有写入权限,其中 77 个还能写入多个组织,令研究人员得以全权控制多家知名公司的模型库,例如 Pythia 的 EleutherAI、Meta Llama 2、Bloom 的 BigScience Workshop。安全公司警告,只要黑客成功控制这些模型库,就能发动多种攻击。

目前安全公司已经上报相关漏洞,而微软、Meta、谷歌、VMware 等公司也纷纷撤销了此前的 API 令牌及暴露的 token。

  • 发表于:
  • 原文链接https://page.om.qq.com/page/OZ2vdlC0FFNr7b81s35lH7hA0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券