伪造阿里云AI SDK中的投毒模型凸显AI供应链安全挑战
内容提要
近年来,攻击者通过伪造开源软件包,尤其是恶意AI框架和机器学习模型,针对开发者发起攻击。最近,黑客在PyPI上传伪装成阿里云AI SDK的恶意包,利用Pickle格式窃取代码。尽管Hugging Face等平台尝试检测此类威胁,但安全工具仍不够成熟,开发者的计算机面临安全风险。
关键要点
-
攻击者通过伪造开源软件包,尤其是恶意AI框架和机器学习模型,针对开发者发起攻击。
-
黑客在PyPI上传伪装成阿里云AI SDK的恶意包,利用Pickle格式窃取代码。
-
ReversingLabs发现的恶意包没有合法功能,隐藏在Pickle格式的恶意ML模型文件中。
-
Pickle格式被滥用,攻击者利用其在Hugging Face上托管包含恶意代码的投毒模型。
-
Hugging Face采用Picklescan工具检测和阻止恶意代码,但仍有绕过检测的方法。
-
PyPI托管的软件包使得检测隐藏在软件包内的投毒模型更加困难。
-
恶意SDK通过__init__.py脚本加载恶意PyTorch模型,窃取用户信息和其他敏感数据。
-
安全工具在恶意ML模型检测方面尚处于初级阶段,缺乏必要的功能。
延伸问答
黑客是如何伪造阿里云AI SDK的恶意包的?
黑客在PyPI上传伪装成阿里云AI SDK的恶意包,利用Pickle格式隐藏恶意代码,窃取用户信息。
Pickle格式在这次攻击中有什么作用?
Pickle格式被滥用来隐藏恶意代码,使得安全工具难以检测,攻击者利用其在ML模型中执行恶意行为。
Hugging Face是如何应对恶意代码的?
Hugging Face采用了开源工具Picklescan来检测和阻止Pickle文件中的恶意代码,但仍有绕过的方法。
开发者面临哪些安全风险?
开发者的计算机可能包含云服务凭证和API令牌,容易被攻击者入侵并横向移动。
恶意包在被发现前下载了多少次?
这些恶意包在被发现并下架前不到一天的时间内就被下载了1600次。
当前安全工具在检测恶意ML模型方面的能力如何?
安全工具在恶意ML模型检测方面尚处于初级阶段,缺乏必要的检测功能。
