- Hugging Face Spaces, một kho lưu trữ các ứng dụng AI do cộng đồng người dùng tạo ra và gửi, đã bị xâm nhập.
- Tin tặc có thể đã truy cập trái phép vào một tập hợp các bí mật của Spaces.
- Hugging Face đã thu hồi các mã thông báo xác thực bị xâm phạm và thông báo cho những người bị ảnh hưởng qua email.
- Công ty khuyến nghị tất cả người dùng Hugging Face Spaces làm mới mã thông báo của họ và chuyển sang mã thông báo truy cập chi tiết.
- Hugging Face đang làm việc với các chuyên gia an ninh mạng bên ngoài để điều tra vụ vi phạm và báo cáo sự cố cho cơ quan thực thi pháp luật và cơ quan bảo vệ dữ liệu.
- Trong những ngày qua, công ty đã thắt chặt bảo mật cơ sở hạ tầng Spaces, bao gồm loại bỏ hoàn toàn mã thông báo tổ chức, triển khai dịch vụ quản lý khóa (KMS) cho các bí mật Spaces, tăng cường khả năng phát hiện và vô hiệu hóa proactively các mã thông báo bị rò rỉ.
- Khi Hugging Face ngày càng phổ biến, nó cũng trở thành mục tiêu cho các tác nhân đe dọa, những kẻ cố gắng lạm dụng nó cho các hoạt động độc hại.
- Vào tháng 2/2024, công ty bảo mật JFrog phát hiện khoảng 100 trường hợp các mô hình AI ML độc hại được sử dụng để thực thi mã độc trên máy nạn nhân.
- Gần đây, các nhà nghiên cứu bảo mật tại Wiz đã phát hiện một lỗ hổng cho phép họ tải lên các mô hình tùy chỉnh và tận dụng container escapes để truy cập chéo vào các mô hình của khách hàng khác.
📌 Vụ vi phạm bảo mật tại Hugging Face Spaces cho thấy các nền tảng AI đang ngày càng trở thành mục tiêu hấp dẫn cho tin tặc. Công ty đã nhanh chóng hành động để thu hồi mã thông báo bị xâm phạm, thông báo cho người dùng bị ảnh hưởng và tăng cường các biện pháp bảo mật. Tuy nhiên, sự cố này nhấn mạnh tầm quan trọng của việc giám sát liên tục và cập nhật bảo mật để bảo vệ dữ liệu nhạy cảm trên các nền tảng AI.
https://www.bleepingcomputer.com/news/security/ai-platform-hugging-face-says-hackers-stole-auth-tokens-from-spaces/