AI Platform Hugging Face, uzay platformunun ihlal edildiğini ve bilgisayar korsanlarının üyeleri için kimlik doğrulama sırlarına erişmesine izin verdiğini söylüyor.
Hugging Face Space, topluluğun kullanıcıları tarafından oluşturulan ve gönderilen AI uygulamalarının bir deposudur ve diğer üyelerin bunları demo etmesine izin verir.
"Bu haftanın başlarında ekibimiz, özellikle uzay sırları ile ilgili alan platformumuza yetkisiz erişim tespit etti."
Diyerek şöyle devam etti: "Sonuç olarak, bir alan alt kümesinin yetkilendirilmeden erişilebileceğinden şüphelerimiz var."
Hugging Face, uzlaşmış sırlarda kimlik doğrulama jetonlarını iptal ettiklerini ve e -postadan etkilenenleri bilgilendirdiklerini söylüyor.
Bununla birlikte, tüm sarılma yüz alanlarının kullanıcılarının jetonlarını yenilemelerini ve organizasyonların AI modellerine kimin erişebileceği üzerinde daha sıkı bir kontrole sahip olmalarını sağlayan ince taneli erişim belirteçlerine geçmesini önerirler.
Şirket, ihlali araştırmak ve olayı kolluk kuvvetleri ve veri koruma ajanslarına bildirmek için dış siber güvenlik uzmanlarıyla birlikte çalışıyor.
AI platformu, olay nedeniyle son birkaç gün içinde güvenliği sıkılaştırdıklarını söylüyor.
"Son birkaç gün içinde, org jetonlarının tamamen kaldırılması (izlenebilirlik ve denetim yeteneklerinin artmasına neden olan), boşluk sırları için anahtar yönetim hizmeti (KMS) uygulama, sağlamlaştırma ve genişleme de dahil olmak üzere, alan altyapısının güvenliğinde başka önemli iyileştirmeler yaptık. Sistemimizin sızdırılmış jetonları tanımlama ve proaktif olarak onları geçersiz kılma ve daha genel olarak güvenliğimizi tahtada tamamen kaldırmayı planlıyoruz. Eşlik.
Sarılma yüzü popülaritesi arttıkça, kötü niyetli faaliyetler için kötüye kullanmaya çalışan tehdit aktörleri için bir hedef haline geldi.
Şubat ayında, siber güvenlik firması Jfrog, bir kurbanın makinesinde kötü amaçlı kod yürütmek için kullanılan yaklaşık 100 kötü amaçlı AI ML modelini buldu. Modellerden biri, bir uzaktan tehdit aktörünün kodu çalıştıran bir cihaza erişmesine izin veren bir ters kabuk açtı.
Daha yakın zamanlarda, Wiz'deki güvenlik araştırmacıları, diğer müşterilerin modellerine kiracılar arası erişim sağlamak için özel modeller yüklemelerine ve konteyner kaçışlarından yararlanmalarına izin veren bir güvenlik açığı keşfettiler.
Yüzü Backdoor kullanıcılarının makinelerinde sarılmak için kötü niyetli yapay zeka modelleri
Ascension, şüpheli fidye yazılımı saldırısından sonra ambulansları yeniden yönlendiriyor
Ascension Healthcare, siber saldırdıktan sonra sistemleri çevrimdışı alır
Snowflake hesabı hack'leri Santander ile bağlantılı, Ticketmaster ihlalleri
Ticketmaster, çevrimiçi satılık çalınan verilerden sonra büyük ihlalleri onayladı
Kaynak: Bleeping Computer