最新ニュース一覧

人気のカテゴリ


Hugging Face、AIプラットフォーム不正アクセスを公表 – セキュリティ対策強化へ

 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-02 07:20 by TaTsu

人工知能(AI)企業のHugging Faceは、今週初めに同社のSpacesプラットフォームへの不正アクセスが検出されたことを金曜日に公表した。Spacesは、ユーザーがAIおよび機械学習(ML)アプリケーションを作成、ホスト、共有するためのプラットフォームであり、他のユーザーがプラットフォーム上で作成したAIアプリを検索するための発見サービスも提供している。

Hugging Faceは、不正アクセスの疑いがあるSpacesの秘密の一部がアクセスされた可能性があると述べ、このセキュリティイベントに対応して、これらの秘密に存在するHFトークンの数を無効にし、トークンが無効にされたユーザーにメールで通知している。

また、すべてのキーやトークンを更新し、HFトークンを新しいデフォルトである細分化されたアクセストークンに切り替えることを推奨している。しかし、このインシデントによって影響を受けたユーザーの数は公表されておらず、現在さらに調査中である。Hugging Faceは、この侵害を法執行機関およびデータ保護当局に通報している。

AI業界の急速な成長に伴い、Hugging FaceのようなAI-as-a-Service(AIaaS)プロバイダーは攻撃者の標的となり、悪意のある目的で悪用される可能性がある。今年4月初旬、クラウドセキュリティ企業Wizは、Hugging Faceにおけるセキュリティ問題を詳細に報告し、敵がクロステナントアクセスを取得し、連続的な統合および連続的なデプロイメント(CI/CD)パイプラインを乗っ取ることでAI/MLモデルを汚染する可能性があると指摘した。

また、HiddenLayerによる以前の研究では、Hugging FaceのSafetensors変換サービスに存在する欠陥が、ユーザーが提出したAIモデルを乗っ取り、サプライチェーン攻撃を仕掛ける可能性があることが明らかにされた。Wizの研究者は4月に、「悪意のあるアクターがHugging Faceのプラットフォームを侵害した場合、プライベートAIモデル、データセット、および重要なアプリケーションにアクセスし、広範囲にわたる損害および潜在的なサプライチェーンリスクを引き起こす可能性がある」と述べている。

【編集者追記】用語解説

  • Spaces:
    Hugging Faceが提供するAIモデルホスティングプラットフォーム。ユーザーはここにモデルをアップロードし、インタラクティブなデモアプリを作成・公開できる。

【参考リンク】
Hugging Face(外部)

【関連記事】

サイバーセキュリティーに関連する記事をinnovaTopiaでもっと読む

【ニュース解説】

AIおよび機械学習(ML)アプリケーションを作成、ホスト、共有するためのプラットフォームであるHugging FaceのSpacesが、不正アクセスを検出したことが公表されました。このプラットフォームは、ユーザーが自身のAIアプリを作成し、他のユーザーが作成したアプリを発見できるサービスを提供しています。Hugging Faceは、不正アクセスの疑いがあることを受け、影響を受けた可能性があるユーザーのHFトークンを無効にし、新しい細分化されたアクセストークンへの切り替えを推奨しています。

この事件は、AI業界の急成長に伴い、AI-as-a-Service(AIaaS)プロバイダーが攻撃者の標的になるリスクが高まっていることを示しています。特に、Hugging Faceのようなプラットフォームは、AI/MLモデルやデータセットなどの価値あるリソースを保持しているため、悪意のあるアクターにとって魅力的なターゲットとなります。

このような不正アクセスの可能性は、プライベートAIモデルやデータセット、重要なアプリケーションへのアクセスを許してしまうことで、広範囲にわたる損害やサプライチェーンリスクを引き起こす可能性があります。例えば、攻撃者がAIモデルを操作して不正な情報を生成したり、データセットを改ざんしてAIの学習結果を歪めることが考えられます。これは、AI技術の信頼性や安全性に対する大きな脅威となります。

この事件は、AIaaSプロバイダーだけでなく、AI技術を利用するすべての企業や組織にとって、セキュリティ対策の重要性を再認識させるものです。特に、細分化されたアクセストークンのようなセキュリティ対策を講じることで、不正アクセスのリスクを低減できる可能性があります。また、このようなインシデントは、AI技術の安全な使用を確保するための規制やガイドラインの策定に影響を与える可能性があります。

長期的には、AI技術の発展と普及に伴い、セキュリティ対策の強化やリスク管理の重要性が高まるでしょう。AIaaSプロバイダーは、不正アクセスやデータ漏洩のリスクを最小限に抑えるために、最新のセキュリティ技術の導入やユーザーへのセキュリティ意識の啓発など、継続的な努力が求められます。

from AI Company Hugging Face Notifies Users of Suspected Unauthorized Access.


読み込み中…
読み込み中…