Pada Jumat sore, perusahaan layar sering kali menyimpan informasi yang tidak menyenangkan, pendiri AI Hugging Face mengatakan bahwa tim keamanannya awal pekan ini mendeteksi “pendekatan tidak sah” terhadap Spaces, platform Hugging Face untuk membuat, berbagi, dan menghosting model dan sumber daya AI.
Dalam postingan blognya, Hugging Face mengatakan gangguan tersebut terkait dengan privasi Spaces, atau informasi pribadi yang bertindak sebagai kunci untuk membuka hal-hal yang dilindungi seperti akun, perangkat, dan jejaring sosial, dan “mencurigakan” bahwa beberapa privasi mungkin ada di sana. . diakses oleh orang lain tanpa izin.
Sebagai tindakan pencegahan, Hugging Face telah menghilangkan sejumlah gejala dalam misteri tersebut. (Token digunakan untuk memverifikasi identitas.) Hugging Face mengatakan bahwa pengguna yang kata sandinya telah dihapus telah menerima pemberitahuan email dan merekomendasikan agar semua pengguna “menyegarkan kunci atau token apa pun” dan mempertimbangkan untuk beralih ke login yang lebih baik, yang Hugging Says tentang wajah sangat terlindungi.
Belum jelas berapa banyak pengguna atau aplikasi yang terkena dampak potensi pelanggaran ini.
“Kami bekerja sama dengan peneliti keamanan siber untuk menyelidiki masalah ini dan meninjau kebijakan dan prosedur keamanan kami. Kami telah melaporkan masalah ini kepada penegak hukum dan Petugas Perlindungan Data,” tulis Hugging Face dalam sebuah postingan. “Kami sangat menyesali penyebab insiden ini dan memahami ketidaknyamanan yang ditimbulkannya kepada Anda. Kami berjanji akan menggunakan ini sebagai peluang untuk meningkatkan keamanan semua produk kami.”
Dalam pernyataan email, juru bicara Hugging Face mengatakan kepada TechCrunch:
“Kami telah melihat peningkatan jumlah serangan siber dalam beberapa bulan terakhir, mungkin karena penggunaan kami telah meningkat pesat dan AI telah berkembang pesat. Secara teknis sulit untuk mengetahui berapa banyak rahasia lokasi yang telah dibobol.”
Potensi peretasan untuk Spaces terjadi ketika Hugging Face, yang merupakan salah satu platform terbesar untuk proyek kolaboratif AI dan ilmu data dengan lebih dari satu juta model, kumpulan data, dan aplikasi yang didukung AI, menghadapi peningkatan pengawasan keamanan.
Pada bulan April, para peneliti di perusahaan keamanan cloud Wiz menemukan kerentanan – sejak diinstal – yang memungkinkan penyerang memasukkan kode arbitrer selama pembuatan perangkat lunak Hugging Face yang memungkinkan mereka melihat koneksi jaringan di mesin mereka. Awal tahun ini, perusahaan keamanan JFrog menemukan bukti bahwa kode yang diunggah ke Hugging Face memasang pintu belakang dan jenis malware lainnya di mesin pengguna. Dan startup keamanan HiddenLayer mengidentifikasi cara-cara di mana serialisasi Hugging Face yang sangat terlihat, Safetensors, dapat disalahgunakan untuk membuat model AI yang berbahaya.
Hugging Face baru-baru ini mengumumkan bahwa mereka akan bermitra dengan Wiz untuk menggunakan pemindai kerentanan dan alat komputasi awan “dengan tujuan meningkatkan keamanan platform kami dan ekosistem AI/ML secara keseluruhan.”
