字数 944,阅读大约需 5 分钟
黑客利用“损坏”pickle文件在HuggingFace上传恶意AI模型
近日,一则令人担忧的消息在人工智能安全领域引起轩然大波:网络安全研究人员发现,在全球知名的机器学习平台HuggingFace[1]上,出现了两个恶意的机器学习模型。这些模型借助一种新颖手段——通过“损坏”的pickle文件,成功绕过了平台的安全检测机制。
恶意模型的技术剖析
ReversingLabs的资深研究员卡洛・赞基(Karlo Zanki)揭示了这些恶意模型背后的奥秘。从以PyTorch格式存储的存档中提取的pickle文件,开头部分暗藏玄机,暗示其中藏匿着恶意Python代码。进一步研究发现,这些恶意代码的核心是反向shell,它能主动连接到硬编码设定的IP地址,实现黑客对目标系统的远程控制。
这种攻击方式被命名为nullifAI,目的是绕过现有的安全防护措施。在机器学习领域,恶意代码执行导致的安全漏洞数量呈上升趋势。此次nullifAI攻击方式的出现,给安全防护工作带来了新挑战。
Hugging Face上发现的这两个恶意模型,分别命名为glockr1/ballr7和who – r – u0000/000000000000000000000000000000000000。它们更像是黑客用于验证攻击思路的概念验证,而非精心策划的实际供应链攻击案例,但潜在风险不容小觑。
Pickle文件的安全隐患
pickle格式在机器学习模型分发过程中应用广泛,能方便地存储和传输各种复杂的Python对象。然而,它允许在加载和反序列化过程中执行任意代码,给恶意攻击者提供了可乘之机。
研究人员发现,这两个恶意模型所使用的PyTorch格式的压缩pickle文件,采用7z压缩,而非通常默认的ZIP格式。这一差异使它们成功避开Hugging Face的Picklescan工具恶意检测。卡洛・赞基指出,尽管pickle文件中的反序列化操作会因恶意载荷插入出现错误,但仍能部分反序列化,使恶意代码得以执行。而且,这些恶意代码位于pickle流开头,Hugging Face的安全扫描工具未能及时识别风险。
行业影响与应对措施
这一事件在机器学习和人工智能领域引发广泛关注,对HuggingFace平台的安全性和声誉造成冲击,也让整个行业对机器学习模型的安全性产生忧虑。事件曝光后,许多企业表示对机器学习模型的安全性信心下降,并计划重新评估自身的安全策略。
面对这一形势,研究人员迅速对Picklescan工具进行紧急更新,增强其对类似恶意模型的检测能力,防止类似事件再次发生。
此次事件为技术界敲响警钟,在人工智能和机器学习技术发展的同时,网络安全问题不容忽视。开发人员在使用pickle格式进行数据存储和传输时需更加谨慎,对输入数据严格验证和过滤,也可考虑采用安全替代方案,或对pickle文件进行额外加密和签名处理。
