Un nuevo estudio muestra que los proveedores de inteligencia artificial (IA) como servicio, como Hugging Face, están en riesgo de ataques maliciosos que podrían permitir la escalada de privilegios y el acceso no autorizado a otros modelos de clientes. Los investigadores de seguridad informan que los modelos maliciosos representan un riesgo importante para los sistemas de IA, especialmente para los proveedores de IA como servicio, ya que los atacantes potenciales pueden aprovecharlos para realizar ataques entre inquilinos.
Las amenazas son de dos tipos y se originan como resultado de la apoderación de la infraestructura compartida de Inferencia y de la apoderación del CI/CD compartido. Ambas amenazas permiten ejecutar modelos no confiables cargados en el servicio en formato de pickle y apropiarse del pipeline de CI/CD para realizar un ataque al suministro de la cadena.
Para atenuar el problema, se recomienda habilitar IMDSv2 con Hop Limit para evitar que las vainas accedan al servicio de metadatos de instancias (IMDS) y obtener el rol de un nodo dentro del clúster. Además, se descubrió que en Hugging Face Spaces es posible lograr la ejecución de código remoto a través de un Dockerfile especialmente creado al ejecutar una aplicación.
Hugging Face, la compañía de IA, aseguró que ha abordado todos los problemas identificados. También insta a los usuarios a emplear modelos solo de fuentes confiables, habilitar la autenticación multifactor y abstenerse de usar archivos Pickle en entornos de producción. Este estudio demuestra que el uso de modelos no confiables de IA (especialmente aquellos basados en Pickle) podría tener graves consecuencias de seguridad y, por tanto, se vuelve crucial asegurarse de que se ejecuten en un entorno aislado.
En resumen, los proveedores de IA como servicio están en riesgo de ataques maliciosos que podrían permitir la escalada de privilegios y el acceso no autorizado a otros modelos de clientes. Se recomienda habilitar medidas de seguridad y usar solo modelos confiables para evitar consecuencias graves de seguridad.
Vía The Hacker News
