A última hora de la tarde del viernes, una ventana de tiempo que las empresas suelen reservar para revelaciones poco halagadoras, la startup de IA Hugging Face dijo que su equipo de seguridad a principios de esta semana detectó “acceso no autorizado” a Spaces, la plataforma de Hugging Face para crear, compartir y alojar modelos y recursos de IA.
en un entrada en el blogHugging Face dijo que la intrusión estaba relacionada con los secretos de Spaces, o las piezas privadas de información que actúan como claves para desbloquear recursos protegidos como cuentas, herramientas y entornos de desarrollo, y que tiene “sospechas” de que algunos secretos podrían haber sido accedidos por un tercero sin autorización.
Como precaución, Hugging Face ha revocado una serie de tokens en esos secretos. (Los tokens se utilizan para verificar identidades). Hugging Face dice que los usuarios cuyos tokens han sido revocados ya han recibido un aviso por correo electrónico y recomienda que todos los usuarios “actualicen cualquier clave o token” y consideren cambiar a tokens de acceso detallados, lo que Hugging Los reclamos faciales son más seguros.
No quedó claro de inmediato cuántos usuarios o aplicaciones se vieron afectados por la posible infracción. Nos comunicamos con Hugging Face para obtener más información y actualizaremos esta publicación si recibimos una respuesta.
“Estamos trabajando con especialistas forenses externos en seguridad cibernética para investigar el problema y revisar nuestras políticas y procedimientos de seguridad. También hemos informado de este incidente a las autoridades encargadas de hacer cumplir la ley y a Data [sic] autoridades de protección”, escribió Hugging Face en la publicación. “Lamentamos profundamente los trastornos que este incidente pudo haber causado y entendemos los inconvenientes que pudo haberles causado. Nos comprometemos a aprovechar esto como una oportunidad para fortalecer la seguridad de toda nuestra infraestructura”.
El posible hackeo de Spaces se produce cuando Hugging Face, que se encuentra entre las plataformas más grandes para proyectos colaborativos de inteligencia artificial y ciencia de datos con más de un millón de modelos, conjuntos de datos y aplicaciones impulsadas por inteligencia artificial, enfrenta un escrutinio cada vez mayor sobre sus prácticas de seguridad.
En abril, investigadores de la empresa de seguridad en la nube Wiz encontraron un vulnerabilidad (ya solucionado) eso permitiría a los atacantes ejecutar código arbitrario durante el tiempo de construcción de una aplicación alojada en Hugging Face que les permitiría examinar las conexiones de red desde sus máquinas. A principios de año, la empresa de seguridad JFrog descubierto evidencia de que el código cargado en Hugging Face instalaba de forma encubierta puertas traseras y otros tipos de malware en las máquinas de los usuarios finales. Y la startup de seguridad HiddenLayer identificó formas en que el formato de serialización aparentemente más seguro de Hugging Face, Safetensors, podría ser abusado para crear modelos de IA saboteados.
abrazando la cara dijo recientemente que se asociaría con Wiz para utilizar las herramientas de configuración del entorno de nube y escaneo de vulnerabilidades de la compañía “con el objetivo de mejorar la seguridad en toda nuestra plataforma y el ecosistema AI/ML en general”.