A plataforma de IA Hugging Face anunciou que sua plataforma Spaces foi violada, permitindo que hackers acessassem segredos de autenticação de seus membros.
Hugging Face Spaces é um repositório de aplicativos de IA criados e enviados pelos usuários da comunidade, permitindo que outros membros os testem em demonstração.
"No início desta semana, nossa equipe detectou acesso não autorizado à nossa plataforma Spaces, especificamente relacionado aos segredos do Spaces," alertou o Hugging Face em uma publicação no blog.
"Como consequência, temos suspeitas de que um subconjunto dos segredos do Spaces pode ter sido acessado sem autorização."
O Hugging Face afirma que já revogou os tokens de autenticação nos segredos comprometidos e notificou os impactados por e-mail.
No entanto, recomendam que todos os usuários do Hugging Face Spaces atualizem seus tokens e migrem para tokens de acesso de granulação fina, que permitem às organizações ter um controle mais estrito sobre quem tem acesso aos seus modelos de IA.
A empresa está trabalhando com especialistas externos em cibersegurança para investigar a violação e reportar o incidente a órgãos de aplicação da lei e agências de proteção de dados.
A plataforma de IA diz que tem reforçado a segurança nos últimos dias devido ao incidente.
À medida que o Hugging Face cresce em popularidade, também se tornou um alvo para atores de ameaças, que tentam abusá-lo para atividades maliciosas.
Em fevereiro, a empresa de cibersegurança JFrog encontrou aproximadamente 100 instâncias de modelos de IA ML maliciosos usados para executar código malicioso na máquina de uma vítima.
Um dos modelos abriu um shell reverso que permitiu a um ator de ameaças remoto acessar um dispositivo executando o código.
Mais recentemente, pesquisadores de segurança na Wiz descobriram uma vulnerabilidade que permitiu a eles fazer upload de modelos personalizados e aproveitar escapamentos de contêiner para obter acesso cruzado ao inquilino a modelos de outros clientes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...