AI 平台 Hugging Face 现 API 令牌漏洞，黑客可获取微软、谷歌等模型库权限

图片地址：https://img.ithome.com/newsuploadfiles/2023/12/fa6360c8-c6f0-46db-9a82-cb94fc1d3154.png?x-bce-process=image/format,f_auto

IT之家 12 月 5 日消息，安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞，黑客可获取微软、谷歌、Meta 等公司的令牌，并能够访问模型库，污染训练数据或窃取、修改 AI 模型。IT之家从安全公司报道中获悉，由于平台的令牌信息写死在 API 中，因此黑客可以直接从 Hugging Face 及 GitHub 的存储库（repository）获得平台上各模型分发者的 API 令牌（token），安全人员一共从上述平台中找到 1681 个有效的令牌。▲ 图源 安全公司 Lasso Security经过一步分析资料，安全人员获得了 723 家企业组织的帐号，其中包括 Meta、微软、谷歌、VMware 及 Hugging Face 官方等。其中 655 个令牌具有写入权限，其中 77 个还能写入多个组织，令研究人员得以全权控制多家知名公司的模型库，例如