要約:
- 最近のオープンソースソフトウェアリポジトリと同様に、AIモデルホスティングプラットフォームのHugging Faceも、攻撃者によってトロイの木馬化されたプロジェクトやアセットがアップロードされ、無防備なユーザーを感染させる目的で悪用されている。
- 最新の攻撃技術は、意図的に壊れたが毒入りのPythonオブジェクトシリアライゼーションファイル(Pickleファイル)に関与するものである。
- Hugging Faceは、機械学習のGitHubとも言われ、オープンソースAIモデルや他の機械学習アセットの最大のオンラインホスティングデータベースである。
- Hugging Faceは、機械学習モデルの中でもPickle形式が最も一般的であり、PyTorchの人気により広まった。
- 悪意のあるユーザーが毒入りモデルをアップロードする可能性があるが、PyTorchの人気を考慮してこの形式を禁止するのは厳しい。
- Hugging Faceは、悪意のあるPickleファイルをスキャンおよび検出しようとするオープンソースツールであるPicklescanを使用している。
- 最新の研究によると、Picklescanはすべての悪用方法をキャッチするのに不十分であるため、注意が必要である。
- 悪意のあるPickleファイルは、ツールが期待するフォーマットを変更し、Picklescanがそれらを検出できないようにした。
感想:
この記事は、Hugging Faceのセキュリティ上の脆弱性について議論しており、悪意のあるモデルやファイルがどのようにプラットフォームにアップロードされるかについて示唆しています。Picklescanなどのツールを使用しても、すべての脅威を特定することは難しいため、オープンプラットフォームでのセキュリティリスクには常に注意が必要です。今後も新たな回避策が見つかる可能性があることを考えると、慎重なアプローチが重要であると感じました。