我們很高興地宣佈,我們正在與 Wiz 合作,目標是提高我們平臺和整個 AI/ML 生態系統的安全性。
Wiz 研究人員 與 Hugging Face 就我們平臺的安全性進行合作並分享了他們的發現。 Wiz 是一家雲安全公司,幫助客戶以安全的方式構建和維護軟體。 隨著這項研究的釋出,我們將藉此機會重點介紹一些相關的 Hugging Face 安全改進。
Hugging Face 最近整合了 Wiz 進行漏洞管理,這是一個持續主動的流程,可確保我們的平臺免受安全漏洞的影響。 此外,我們還使用 Wiz 進行雲安全態勢管理 (CSPM),它使我們能夠安全地配置雲環境並進行監控以確保其安全。
我們最喜歡的 Wiz 功能之一是從儲存到計算再到網路的漏洞的整體檢視。 我們執行多個 Kubernetes (k8s) 叢集,並擁有跨多個區域和雲提供商的資源,因此在單個位置擁有包含每個漏洞的完整上下文圖的中央報告非常有幫助。 我們還構建了他們的工具以自動修復我們產品中檢測到的問題,特別是在 Spaces 中。
在聯合工作的過程中,Wiz 的安全研究團隊透過使用 pickle 在系統內執行任意程式碼,識別出了我們沙箱計算環境的不足之處。在閱讀此部落格和 Wiz 的安全研究報告時,請記住,我們已經解決了與該漏洞相關的所有問題,並將繼續在威脅檢測和事件響應過程中保持警惕。
Hugging Face 安全
在 Hugging Face,我們非常重視安全性。隨著人工智慧的快速發展,新的威脅向量似乎每天都會出現。即使 Hugging Face 宣佈了與技術領域一些最大名字的多項合作伙伴關係和業務關係,我們仍然致力於讓我們的使用者和 AI 社群能夠負責任地實驗和操作 AI/ML 系統和技術。我們致力於保障我們的平臺安全,並推動 AI/ML 的民主化,使社群能夠貢獻力量併成為這一將影響我們所有人的正規化轉變的一部分。我們撰寫這篇部落格,重申我們保護使用者和客戶免受安全威脅的承諾。下面我們還將討論 Hugging Face 關於支援有爭議的 pickle 檔案的理念,並探討遠離 pickle 格式的共同責任。
在不久的將來,還會有許多令人興奮的安全改進和公告。這些出版物不僅會討論 Hugging Face 平臺社群面臨的安全風險,還會涵蓋 AI 的系統性安全風險以及最佳緩解實踐。我們始終致力於保障我們的產品、基礎設施和 AI 社群的安全,請關注後續的安全部落格文章和白皮書。
面向社群的開源安全協作和工具
我們高度重視與社群的透明度和合作,這包括參與漏洞的識別和披露、共同解決安全問題以及開發安全工具。以下是透過合作實現的安全成果示例,這些成果有助於整個 AI 社群降低安全風險:
-
Picklescan 是與微軟合作開發的; 該專案由 Matthieu Maitre 發起,由於我們內部也有一個相同工具的版本,因此我們聯手併為 Picklescan 做出了貢獻。如果您想了解更多關於其工作原理的資訊,請參考 文件頁面。
-
Safetensors 是由 Nicolas Patry 開發的一種比 pickle 檔案更安全的替代方案。Safetensors 在與 EuletherAI 和 Stability AI 的合作專案中,由 Trail of Bits 進行了稽核。
-
我們有一個強大的漏洞賞金計劃,吸引了來自世界各地的眾多出色研究人員。識別出安全漏洞的研究人員可以透過 security@huggingface.co 諮詢加入我們的計劃。
-
惡意軟體掃描: https://hf.co/docs/hub/en/security-malware
-
隱私掃描: 請訪問以下連結瞭解更多資訊: https://hf.co/docs/hub/security-secrets
-
如前所述,我們還與 Wiz 合作降低平臺安全風險。
-
我們正在啟動一系列安全出版物,以解決 AI/ML 社群面臨的安全問題。
開源 AI/ML 使用者的安全最佳實踐
- AI/ML 引入了新的攻擊向量,但對於許多這些攻擊,其緩解措施早已存在併為人所知。安全專業人員應確保對 AI 資源和模型應用相關的安全控制。此外,以下是一些在使用開源軟體和模型時的資源和最佳實踐:
- 瞭解貢獻者: 僅使用來自可信來源的模型並注意提交簽名。 https://hf.co/docs/hub/en/security-gpg
- 不要在生產環境中使用 pickle 檔案
- 使用 Safetensors: https://hf.co/docs/safetensors/en/index
- 回顧 OWASP 前 10 名: https://owasp.org/www-project-top-ten/
- 在您的 Hugging Face 帳戶上啟用 MFA
- 建立一個安全開發生命週期,包括由具有適當安全培訓的安全專業人員或工程師進行程式碼審查。
- 在非生產和虛擬化的測試/開發環境中測試模型。
Pickle 檔案——不容忽視的安全隱患
Pickle 檔案一直是 Wiz 的研究核心以及近期安全研究人員關於 Hugging Face 的其他出版物的關注點。Pickle 檔案長期以來被認為存在安全風險,欲瞭解更多資訊,請參閱我們的文件檔案: https://hf.co/docs/hub/en/security-pickle
儘管這些已知的安全缺陷存在,AI/ML 社群仍然經常使用 pickle 檔案 (或類似容易被利用的格式)。其中許多使用案例風險較低或僅用於測試目的,使得 pickle 檔案的熟悉性和易用性比安全的替代方案更具吸引力。
作為開源人工智慧平臺,我們有以下選擇:
- 完全禁止 pickle 檔案
- 對 pickle 檔案不執行任何操作
- 找到一箇中間立場,既允許使用 pickle,又可以合理、切實地減輕與 pickle 檔案相關的風險
我們目前選擇了第三個選項,即折中的方案。這一選擇對我們的工程和安全團隊來說是一種負擔,但我們已投入大量努力來降低風險,同時允許 AI 社群使用他們選擇的工具。我們針對 pickle 相關風險實施的一些關鍵緩解措施包括:
- 建立概述風險的清晰文件
- 開發自動掃描工具
- 使用掃描工具和標記具有安全漏洞的模型併發出明確的警告
- 我們甚至提供了一個安全的解決方案來代替 pickle (Safetensors)
- 我們還將 Safetensors 設為我們平臺上的一等公民,以保護可能不瞭解風險的社群成員
- 除了上述內容之外,我們還必須顯著細分和增強使用模型的區域的安全性,以解決其中潛在的漏洞
我們打算繼續在保護和保障 AI 社群方面保持領先地位。我們的一部分工作將是監控和應對與 pickle 檔案相關的風險。雖然逐步停止對 pickle 的支援也不排除在外,但我們會盡力平衡此類決定對社群的影響。
需要注意的是,上游的開源社群以及大型科技和安全公司在貢獻解決方案方面基本上保持沉默,留下 Hugging Face 獨自定義理念,並大量投資於開發和實施緩解措施,以確保解決方案既可接受又可行。
結束語
我在撰寫這篇部落格文章時,與 Safetensors 的建立者 Nicolas Patry 進行了廣泛交流,他要求我向 AI 開源社群和 AI 愛好者發出行動號召:
- 主動開始用 Safetensors 替換您的 pickle 檔案。如前所述,pickle 包含固有的安全缺陷,並且可能在不久的將來不再受支援。
- 繼續向您喜歡的庫的上游提交關於安全性的議題/PR,以儘可能推動上游的安全預設設定。
AI 行業正在迅速變化,不斷有新的攻擊向量和漏洞被發現。Hugging Face 擁有獨一無二的社群,我們與大家緊密合作,以幫助我們維護一個安全的平臺。
請記住,透過適當的渠道負責任地披露安全漏洞/錯誤,以避免潛在的法律責任和違法行為。
想加入討論嗎?請透過 security@huggingface.co 聯絡我們,或者在 LinkedIn/Twitter 上關注我們。
英文原文: https://hf.co/blog/hugging-face-wiz-security-blog
原文作者: Josef Fukano, Guillaume Salou, Michelle Habonneau, Adrien, Luc Georges, Nicolas Patry, Julien Chaumond
譯者: xiaodouzi