Siber Muhbir

HiddenLayer, geçen hafta yayınlanan bir raporda, "Hugging Face hizmetinden platformdaki herhangi bir depoya saldırgan tarafından kontrol edilen verilerle kötü amaçlı çekme istekleri göndermek ve dönüştürme hizmeti aracılığıyla gönderilen tüm modelleri ele geçirmek mümkündür" dedi.

Bu da, hizmet tarafından dönüştürülmesi amaçlanan ele geçirilmiş bir model kullanılarak gerçekleştirilebilir ve böylece kötü niyetli aktörlerin dönüştürme botu gibi davranarak platformdaki herhangi bir depoda değişiklik talep etmesine olanak tanır.

Hugging Face, kullanıcıların önceden eğitilmiş makine öğrenimi modellerini ve veri kümelerini barındırmanın yanı sıra bunları oluşturmasına, dağıtmasına ve eğitmesine yardımcı olan popüler bir işbirliği platformudur.

Safetensors, tehdit aktörleri tarafından rastgele kod yürütmek ve Cobalt Strike, Mythic ve Metasploit sahneleyicilerini dağıtmak için silahlandırılan turşuların aksine, güvenliği göz önünde bulundurarak tensörleri depolamak için şirket tarafından tasarlanmış bir formattır.

Ayrıca, kullanıcıların herhangi bir PyTorch modelini (yani turşuyu) bir çekme isteği aracılığıyla Safetensor eşdeğerine dönüştürmesini sağlayan bir dönüştürme hizmetiyle birlikte gelir.

HiddenLayer'ın bu modüle ilişkin analizi, bir saldırganın kötü amaçlı bir PyTorch ikili dosyası kullanarak barındırılan dönüştürme hizmetini ele geçirmesinin ve onu barındıran sistemi tehlikeye atmasının varsayımsal olarak mümkün olduğunu buldu.

Dahası, çekme isteğini oluşturmak için tasarlanmış resmi bir bot olan SFConvertbot ile ilişkili belirteç, sitedeki herhangi bir depoya kötü amaçlı bir çekme isteği göndermek için sızdırılabilir ve bu da bir tehdit aktörünün modeli kurcalayabileceği ve nöral arka kapılar yerleştirebileceği bir senaryoya yol açabilir.

Araştırmacılar Eoin Wickens ve Kasimir Schulz, "Bir saldırgan, birisi modelini dönüştürmeye çalıştığında herhangi bir rastgele kod çalıştırabilir" dedi. "Kullanıcının kendisine herhangi bir gösterge olmadan, modelleri dönüşüm sırasında ele geçirilebilir."

Bir kullanıcı kendi özel deposunu dönüştürmeye çalışırsa, saldırı Hugging Face tokeninin çalınmasına zemin hazırlayabilir, aksi takdirde dahili modellere ve veri kümelerine erişebilir ve hatta onları zehirleyebilir.

İşleri daha da karmaşık hale getiren bir düşman, herhangi bir kullanıcının yaygın olarak kullanılan bir modeli ele geçirmek veya değiştirmek için halka açık bir depo için bir dönüştürme talebi gönderebileceği gerçeğinden yararlanabilir ve bu da potansiyel olarak önemli bir tedarik zinciri riskine neden olabilir.

Araştırmacılar, "Hugging Face ekosistemindeki makine öğrenimi modellerini güvence altına almak için en iyi niyetlere rağmen, dönüştürme hizmetinin savunmasız olduğu kanıtlandı ve Hugging Face resmi hizmeti aracılığıyla yaygın bir tedarik zinciri saldırısına neden olma potansiyeline sahipti" dedi.

"Bir saldırgan, hizmeti çalıştıran kapsayıcıya bir dayanak noktası edinebilir ve hizmet tarafından dönüştürülen herhangi bir modeli tehlikeye atabilir."

Geliştirme, Trail of Bits'in Apple, Qualcomm, AMD ve Imagination genel amaçlı grafik işleme birimlerinden (GPGPU'lar) veri kurtarmaya izin veren bir güvenlik açığı olan LeftoverLocals'ı (CVE-2023-4969, CVSS puanı: 6.5) ifşa etmesinden bir aydan biraz daha uzun bir süre sonra geldi.

İşlem belleğinin yeterince yalıtılamamasından kaynaklanan bellek sızıntısı kusuru, yerel bir saldırganın başka bir kullanıcının büyük bir dil modeliyle (LLM) etkileşimli oturumu da dahil olmak üzere diğer işlemlerden belleği okumasına olanak tanır.

Güvenlik araştırmacıları Tyler Sorensen ve Heidy Khlaaf, "Bu veri sızıntısı, özellikle model girdilerini, çıktılarını ve ağırlıklarını depolamak için yerel belleğin kullanıldığı makine öğrenimi sistemlerinin yükselişi göz önüne alındığında, ciddi güvenlik sonuçları doğurabilir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.