Reversing Labs: вредоносные ИИ-модели на базе Hugging Face используют новую технику атаки

Reversing Labs: вредоносные ИИ-модели на базе Hugging Face используют новую технику атаки

Изображение: freepik

Эксперты Reversing Labs выявили две модели машинного обучения, содержащие вредоносный код, на платформе Hugging Face, которая считается одним из ведущих ресурсов для обмена ИИ-моделями и их интеграции в приложения. Несмотря на наличие вредоносных элементов, механизмы безопасности платформы не классифицировали их как угрозу.

По данным специалистов Reversing Labs, злоумышленники использовали новую технику распространения вредоносного ПО, основанную на манипуляциях с сериализацией файлов Pickle. Этот формат, применяемый в Python, предназначен для сохранения и загрузки данных модели без необходимости повторного обучения.

Хотя Pickle упрощает совместное использование моделей, он обладает серьёзным недостатком — в процессе десериализации возможен запуск произвольного кода. В закрытых экосистемах этот риск минимален, но в открытых средах, таких как Hugging Face, где пользователи активно обмениваются ресурсами, угроза возрастает.

Многие разработчики ИИ уделяют приоритетное внимание удобству и скорости работы, не всегда принимая во внимание вопросы безопасности, что создаёт благоприятные условия для атак с использованием вредоносных файлов Pickle.

Хотя сама по себе техника вредоносного Pickling уже известна, исследователи обратили внимание на то, что выявленные модели сумели обойти встроенный в Hugging Face инструмент защиты Picklescan. Они хранились в формате PyTorch и были упакованы в сжатые файлы Pickle, но вместо стандартного ZIP-архива использовался формат 7z.

Это сделало невозможной их загрузку с помощью стандартной функции PyTorch, torch.load(), что, по мнению специалистов Reversing Labs, и позволило избежать обнаружения угрозы.

Также эксперты отметили, что обе модели содержали повреждённые файлы Pickle, что может свидетельствовать о тестировании нового метода атаки, а не о распространении готового вредоносного инструмента.

Полный отчёт доступен по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: