Hugging Face SpacesプラットフォームのSecret流出事案を公開
(huggingface.co)- 今週初め、Spacesプラットフォームでsecretsに関する不正アクセスが検知され、一部のsecretsが外部からアクセスされた可能性があります
- 初動対応として、secretsに含まれていた複数のHFトークンが失効され、対象ユーザーにはメールで案内が送信されました
- ユーザーには、関連するkeyとtokenを再発行し、新しいデフォルトであるfine-grained access tokensへ移行することが推奨されます
- Hugging Faceは外部のサイバーセキュリティ・フォレンジック専門家と調査を進めるとともに、セキュリティポリシーと手順も再検討中です
- Spacesインフラには、org tokensの削除、KMS導入、流出トークンの検知・無効化強化が適用され、関係当局にも事案が報告されました
Spaces secretsへの不正アクセスとユーザー対応
- Hugging Faceは、SpacesプラットフォームでSpaces secretsに関連する不正アクセスを検知しました
- 一部のSpaces secretsが不正にアクセスされた可能性があります
- 初期復旧の過程で、secretsに含まれていた複数のHF tokensが失効されました
- トークンが失効されたユーザーには、すでにメールで案内が送られています
- ユーザーには、keyまたはtokenを新たに発行することが推奨されます
- HF tokensは、新しいデフォルトであるfine-grained access tokensへ移行することが推奨されます
Spacesインフラのセキュリティ強化と後続対応
- Hugging Faceは、外部のサイバーセキュリティ・フォレンジック専門家とともに事案を調査し、セキュリティポリシーと手順を見直しています
- ここ数日のあいだに、Spacesインフラのセキュリティが強化されました
- org tokensを完全に削除し、追跡性と監査機能を高めました
- Spaces secretsにキー管理サービス(KMS) を導入しました
- 流出トークンを識別し、事前に無効化するシステム能力を強化・拡張しました
- 全体的なセキュリティを改善しました
- fine-grained access tokensが機能的同等性に到達した時点で、近いうちに“classic” read/write tokensを完全に廃止する計画です
- 想定される関連事案の調査は継続しています
- Hugging Faceは、この事案を法執行機関およびデータ保護当局にも報告しました
- 問い合わせはsecurity@huggingface.coで受け付けています
1件のコメント
Hacker Newsのコメント
スライドが他の場所に上がっているかは分かりませんが、ファイルとして受け取ったものはここにあります: https://dro.pm/c.pdf (45MB) 188枚目のスライド
その時は、モデル作成者だけでなく、Hugging Faceが裁判所命令を受けた場合やハッキングされた場合にも同じことが可能だ、という意味だとは気づいていませんでした。特に侵害にしばらく気づかない場合はなおさらです¹
AI業界の外にいるので、こうしたモデルを自分で動かしたことはありませんが、業界がこの形式をこれほど早く標準化したことに驚きました。モデルファイルは大きな数値行列と少しのメタデータだと思っていたのですが、スライド186と195を見ると、モデルは実質的に何でもできるPythonスクリプトなので、標準化しやすかったのだと思います。各自がやりたいことをできるようにしておけば問題は回避されますが、それには相応のコストが伴います。
¹ https://www.verizon.com/business/resources/articles/s/how-to...によると、20%は数か月間侵害に気づかないそうです。もちろん状況や攻撃者の行動によります。
ただし、すぐに直面する問題がユーザー定義のレイヤー/演算子とその推論ロジックです。サポートされている演算だけで実装する必要がありますが、現実的には難しい、または不可能な場合があります。あるいは実行時に演算子の実装を提供する必要があり、結局振り出しに戻ります。
[1] https://onnx.ai/
ほぼ「大きな数値行列と少しのメタデータ」に近い形式で、いくつかの脆弱性が見つかりパッチが当てられています。
[1] https://www.databricks.com/blog/ggml-gguf-file-format-vulner...
[0]: https://huggingface.co/docs/hub/en/security-pickle
後から読む人のために発表動画を見つけました: https://m.youtube.com/watch?v=8XysLIq-e3s
Hugging Faceは少なくとも「おそらくシークレット値にアクセスされた可能性があるが確認はできない」と言ったわけで、より正直に見えます。
こうした作業は本番反映前に、セキュリティ監査やペネトレーションテストのような、より時間のかかる手続きを伴うべきではないのでしょうか?
ほぼ間違いなくHF Spaceのシークレット値を通じて漏えいしたと思います。数日前、私のSpacesの一部が影響を受けたという警告メッセージを受け取りました。
.envファイルに保存したものも公開です。数日前に該当Spacesが侵害されたというメールを受け取ったので、この問題は少なくとも数週間前から続いていたようです。
それともこれは純粋にデータ/コードの窃取に関する問題なのでしょうか?
https://huggingface.co/docs/hub/en/spaces-overview
フロントエンド/ポータルのように見え、Pythonで書かれていそうです。Djangoのようなものかもしれません。
公開鍵だけ保存して、ユーザーが秘密鍵を持ち、リクエストに署名する形ではだめなのでしょうか?