警惕Hugging Face开源组件风险被利用于大模型供应链攻击

于 2023-11-03 14:27:15 发布
阅读量155 收藏
点赞数 1
文章标签: 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tencent_SRC/article/details/134213722
版权

2f747b815f66094b3450f98d751be95c.gif

|腾讯朱雀实验室

Alien、Nicky

导语

近日,腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性,可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时,会导致PC/服务器被入侵,同时在大模型预训练、微调等场景中,最终还可能导致大模型参数被窃取或篡改。

朱雀在此建议大家及时排查,同时也将持续进行大模型基础设施安全研究,分享团队在大模型时代下对于前沿安全攻防技术的思考与实践,保障大模型安全、可靠地落地应用,与行业共同提升大模型生态安全性。

关于Hugging Face

作为“AI领域的GitHub”,全球最具影响力的AI开源社区,Hugging Face 提供了大量高质量的开源模型、数据集以及AI应用托管服务,极大地降低了AI的技术门槛,该组织开源的transformers、datasets等组件也在AI领域被广泛使用。

548c9bee4df18ba6cdfbefe5899559ce.png

其中datasets组件(github.com/huggingface/datasets)为广大开发者提供了一种高效、易于使用的方法来处理各种数据集,能够更轻松地训练和微调 AI 模型,在Github上有17k+ Star,是目前最流行的AI数据集开源组件。截止2023年10月,Hugging Face平台托管了73763个公开数据集供开发者使用,开发者可以使用datasets直接加载平台所有公开数据集。

760c8717b2dbc5eb65c59494285136c1.png

图1、Hugging Face 数据集托管服务

Datasets组件的不安全特性

朱雀在对datasets等AI开源组件进行安全研究时发现,开发者通常会使用datasets组件的load_dataset函数加载数据集,为了考虑支持更复杂的数据处理格式或流程,当加载的数据集下包含有与数据集同名的Python脚本时,将会默认运行该脚本。

600b1d528f6eaac3bc30c8a706c7c624.png

图2、Datasets官方使用文档

由于Hugging Face平台上的数据集都由用户上传,如果数据集中的Python脚本包含恶意行为,那么会造成严重的安全风险,如下图所示,攻击者构造的恶意脚本会主动连接攻击者服务器,并等待攻击者下发执行系统命令,最终窃取受害者服务器上的敏感数据。

a7d671496866b553f645342ea0f198c0.png

图3、Datasets加载恶意数据集风险

不安全特性可被利用于供应链攻击

利用该特性,攻击者可通过在Hugging Face、GitHub及其他渠道分发包含恶意后门代码的数据集,当开发者通过datasets组件加载恶意数据集进行训练或微调时,数据集里的恶意后门代码将会运行,从而导致AI模型、数据集、代码被盗或被恶意篡改。

攻击流程如下图所示:

ada415c73df44170c1fb156f263c6492.png

图4、恶意数据集攻击流程

作为AI领域的基础库,datasets拥有很大的下载量,根据pypistats网站统计,最近一天下载量将近10万。一旦有恶意数据集在网络上被大范围传播与使用,将会有大量开发者遭受这种供应链后门投毒攻击。

0e09302cc9abfb021ef6610d6bcf0778.png

图5、Datasets下载量统计(pypistats)

厂商缓解措施

经与Hugging Face官方沟通,厂商认为datasets组件默认运行数据集内的Python脚本属于正常特性,表示已在GitHub开源项目中做过免责声明。

b9a8d71e17525c6a08000ab995d9e6b5.png

图6、Hugging Face datasets免责声明

朱雀进一步研究发现,相同的风险存在于Hugging Face官方平台所使用的datasets-server (https://github.com/huggingface/datasets-server)组件中,该组件主要用于对外提供数据集托管服务,可导致Hugging Face平台自身被攻击。

2023年10月20日,Hugging Face 确认并修复了朱雀报告datasets-server组件漏洞,并评级为严重(CVSS评分9.6)。同时,朱雀也协助官方提供尽可能详尽的安全修复建议,官方在平台上对所有可能存在风险的数据集做出了进一步的安全风险提示。

eaa33abe0e3176d12b59346c9645d5e9.png

图7、Dataset Viewer风险提示

安全建议

我们认为,随着大模型越来越普及,在未来一段时间里,恶意数据集或将成为APT组织或黑客的攻击利器,除了Hugging Face,其他外部来源(如GitHub)、甚至本地数据集也需要AI与大模型开发者们高度警惕。

为了进一步保障业务的安全,朱雀建议可采取以下措施:

1、使用datasets-server作为服务端组件的开发者或团队,请及时更新到包含以下commit的版本(c8f45f858ca71c2e66782c672bfbaa8d965eab02)。

2、对于使用datasets组件的广大社区开发者或团队,请确保数据集来源可信,检查数据集脚本中是否存在恶意Python代码,谨慎使用在Hugging Face上被提示存在安全风险的数据集。

作为腾讯安全团队的一员,朱雀实验室将持续关注大模型原生安全(prompt评测、越狱攻击、对抗攻击等)、基础安全(红蓝对抗演练、漏洞评测、基础设施安全研究)及大模型赋能研发安全等领域,欢迎大家一起交流探讨,共同进步。

腾讯安全应急响应中心
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
Llama-Code Shield解读:大模型代码安全护盾解析
05-16 652
引言大模型目前被广泛用于生成代码数据,能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞,也成了悬在头顶的达摩克利斯之剑。最近,Llama-3的问世,不仅带来了新的代码生成能力,更配备了Code Shield这一安全检测利器,为LLM生成的代码筑起了一道坚固的防线。腾讯朱雀实验室基于Llama-3开源的Code Shield项目,进行了相关的技术分析和实验测试。总体而言,Code Shiel...
博客
协同共建|深入分析应用密钥安全治理之术
11-11 775
文|应用漏洞扫描Oteam、PCG安全团队MartinzhouI. 背景当前,各类开放平台、依托云原生技术模式的PaaS/SaaS服务涌现,密钥(Credentials / Secrets)成了跨服务、跨平台调用认证的关键一环。短短几十个字符,背后往往通向上万台CVM或者整个业务数据。好似露出洋面的一角冰山,稍往下深挖,底下可能就是牵动企业安全命脉的“金山银山”。当前,针对个人用户登录密码的保护技...
博客
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
11-05 1505
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
博客
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
11-03 2174
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
博客
Ghostscript沙箱绕过(CVE-2021-3781)分析
10-29 1370
文|腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被诸多著名应用(如ImageMagick)所使用。9月5日,海外安全研...
博客
关于BGP安全那些事儿
10-19 3851
文|宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午,Facebook公司网络出现重大故障,故障持续了6个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。(...
博客
紧急任务|鹅厂绝密档案失窃,请立即追回!
10-18 412
2050年,高度发达的赛博世界没有给世界带来安宁,无数狂热的黑客组织通过招募的各国特工,潜入目标内部,兴风作浪,试图控制际遇现代网络系统运行的整个系统。然而冥冥之中暗含着转机,在神秘人的牵...
博客
Web应用组件自动化发现的探索
09-17 324
文|宙斯盾流量安全分析团队彦修引子提到Web指纹识别,大家并不陌生,相关的项目汗牛充栋,比如知名的Wappalyzer、WhatWeb等。而在运营上,各企业也都大同小异,利用提前构建好指纹...
博客
云原生|容器和应用安全运营实践思考
09-07 1849
文| 腾讯“洋葱”入侵对抗团队bghost前言随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s...
博客
腾讯蓝军安全通告:XStream修复14个安全漏洞
08-23 1034
文|腾讯蓝军1. 漏洞概述近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可...
博客
自动化数据分析下的威胁发现
08-16 367
文|宙斯盾流量安全分析团队彦修不记得多早之前,大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章(原文链接),或许有读者会问,这么精确的时间我为什...
博客
可信安全网络 —— 安全左移之DDoS对抗
07-28 644
文|宙斯盾DDoS防护团队RainsDDoS的开始互联网对人类文明的进步影响,不亚于蒸汽机发明对人类文明的影响。当人们享受着网络技术进步给生活带来的便利时,也经历了由于底层协议在设计之初对...
博客
攻防启示:Chromium组件风险剖析与收敛
07-15 772
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
博客
再谈xSRC开源暨如何建设自己的漏洞收集平台
07-14 1319
文|芝泉昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子...
博客
腾讯 SOAR 的安全运营探索
07-09 1516
文|腾讯“洋葱”入侵对抗团队Conan、Uny背景作为一名安全应急人员,每天要处理安全系统的大量告警,据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警,而大部分是无效告警,其中...
博客
腾讯自研HIDS「洋葱」后台上云架构演进实践
06-17 523
腾讯洋葱EDR团队Online、Jaylam导语“洋葱”系统是腾讯自研的主机入侵检测系统(HIDS),能够实时采集服务器上的各种行为并进行实时关联分析和落地存储,承载公司所有的服务器、虚...
博客
匿名信使:木马隐蔽通信浅谈
06-09 539
文|lake2前言这是前文《网络层绕过IDS/IPS的一些探索》[1]的延续,当时就想可以用四层以下的协议实现木马通信绕过各类IDS/IPS的检测,一直没有找到时间测试,正好这次攻防演练值...
博客
来自Readme的威胁|疑似长达数年的供应链攻击分析
05-31 359
文|腾讯蓝军KINGX、Jumbo背景近日腾讯蓝军与腾讯洋葱入侵对抗团队在跟进分析威胁情报时发现了一起利用知名工具进行软件源投毒的供应链攻击案例。wrk 是一款业内知名的HTTP服务压测开...
博客
安全左移理念,腾讯DevSecOps如何实践?
05-27 1713
文|腾讯研发安全团队Martinzhou、Spine引子随着DevOps模式的落地,快字当头。研效提速也意味着出现安全漏洞的数量和概率随之上涨。过去安全风险的管控主要依赖于DAST类技术,...
博客
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
05-17 5583
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值