Hugging Face 或存在 API 漏洞,可让黑客获取模型库权限
12月6日消息,据 mspoweruser 报道,AI 模型平台 Hugging Face 近日被发现存在 API 令牌漏洞,该漏洞可能导致微软、谷歌、Meta 等公司的模型被黑客非法访问,甚至可能出现污染训练数据或窃取、修改 AI 模型的情况。
这个漏洞被安全公司 Lasso Security 发现并报告,其研究人员发现了超过 1500 个被暴露的令牌,允许他们访问 723 个组织的账户。
在 655 个案例中,令牌具有写入权限,使他们能够修改资源库中的文件。这使得数百万用户的数据、模型和工作面临风险。
据悉,微软、Meta、谷歌、VMware 等公司已经撤销了此前的 API 令牌及暴露的 token。