تقول شركة Hugging Face إنها اكتشفت “وصولاً غير مصرح به” إلى منصة استضافة نماذج الذكاء الاصطناعي الخاصة بها
في وقت متأخر من بعد ظهر يوم الجمعة، وهو الوقت الذي تخصصه الشركات عادةً للإفصاحات غير المبهجة، قالت شركة Hugging Face الناشئة للذكاء الاصطناعي إن فريقها الأمني اكتشف في وقت سابق من هذا الأسبوع “وصولاً غير مصرح به” إلى Spaces، وهي منصة Hugging Face لإنشاء نماذج وموارد الذكاء الاصطناعي ومشاركتها واستضافتها.
في منشور بالمدونة، قالت Hugging Face أن التطفل يتعلق بأسرار Spaces، أو المعلومات الخاصة التي تعمل كمفاتيح لفتح الموارد المحمية مثل الحسابات والأدوات وبيئات التطوير، وأن لديها “شكوك” يمكن أن تكون بعض الأسرار قد تم اختراقها. تم الوصول إليها من قبل طرف ثالث دون إذن.
كإجراء احترازي، قام Hugging Face بإلغاء عدد من الرموز المميزة في تلك الأسرار. (يتم استخدام الرموز المميزة للتحقق من الهويات.) يقول Hugging Face أن المستخدمين الذين تم إلغاء رموزهم المميزة قد تلقوا بالفعل إشعارًا عبر البريد الإلكتروني ويوصي جميع المستخدمين “بتحديث أي مفتاح أو رمز مميز” والتفكير في التبديل إلى رموز الوصول الدقيقة، والتي Hugging تعتبر مطالبات الوجه أكثر أمانًا.
ولم يكن من الواضح على الفور عدد المستخدمين أو التطبيقات التي تأثرت بالانتهاك المحتمل.
“نحن نعمل مع متخصصين خارجيين في الطب الشرعي للأمن السيبراني للتحقيق في المشكلة وكذلك مراجعة سياساتنا وإجراءاتنا الأمنية. لقد أبلغنا أيضًا وكالات إنفاذ القانون والبيانات بهذا الحادث [sic] سلطات الحماية،” كتب Hugging Face في المنشور. “نأسف بشدة للاضطراب الذي قد يسببه هذا الحادث ونتفهم الإزعاج الذي قد يسببه لك. ونتعهد باستغلال هذه الفرصة لتعزيز أمن بنيتنا التحتية بأكملها.”
في بيان عبر البريد الإلكتروني، قال متحدث باسم Hugging Face لـ TechCrunch:
“لقد شهدنا زيادة كبيرة في عدد الهجمات الإلكترونية في الأشهر القليلة الماضية، ربما بسبب تزايد استخدامنا بشكل ملحوظ وأصبح الذكاء الاصطناعي أكثر انتشارًا. من الصعب تقنيًا معرفة عدد أسرار الفضاء التي تم اختراقها.”
يأتي الاختراق المحتمل لـ Spaces في الوقت الذي تواجه فيه Hugging Face، التي تعد من بين أكبر المنصات لمشاريع الذكاء الاصطناعي التعاونية وعلوم البيانات مع أكثر من مليون نموذج ومجموعات بيانات وتطبيقات مدعومة بالذكاء الاصطناعي، تدقيقًا متزايدًا بشأن ممارساتها الأمنية.
في أبريل، اكتشف الباحثون في شركة Wiz للأمن السحابي ثغرة أمنية – منذ إصلاحها – من شأنها أن تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية أثناء وقت إنشاء التطبيق المستضاف Hugging Face والذي يسمح لهم بفحص اتصالات الشبكة من أجهزتهم. وفي وقت سابق من هذا العام، كشفت شركة الأمن JFrog عن دليل على أن التعليمات البرمجية التي تم تحميلها على Hugging Face قامت بتثبيت أبواب خلفية وأنواع أخرى من البرامج الضارة على أجهزة المستخدم النهائي سرًا. وحددت شركة HiddenLayer الناشئة في مجال الأمن الطرق التي يمكن من خلالها إساءة استخدام تنسيق التسلسل الأكثر أمانًا لـ Hugging Face، Safetensors، لإنشاء نماذج ذكاء اصطناعي مدمرة.
قالت Hugging Face مؤخرًا إنها ستتعاون مع Wiz لاستخدام أدوات فحص الثغرات الأمنية وتكوين البيئة السحابية الخاصة بالشركة “بهدف تحسين الأمان عبر نظامنا الأساسي والنظام البيئي AI/ML بشكل عام.”
