Thứ Sáu vừa qua, công ty trí tuệ nhân tạo (AI) Hugging Face tiết lộ rằng họ đã phát hiện hành vi truy cập trái phép vào nền tảng Spaces của mình vào đầu tuần.
“Chúng tôi nghi ngờ rằng một tập con dữ liệu bí mật của Spaces có thể đã bị truy cập trái phép”, công ty cho biết.
Spaces cung cấp các tính năng giúp người dùng tạo, lưu trữ và chia sẻ các ứng dụng AI và học máy (ML). Nó cũng hoạt động như một dịch vụ khám phá để tra cứu các ứng dụng AI do người dùng khác tạo trên nền tảng này.
Hugging Space cho biết họ đang tiến hành thu hồi một số HF token đã bị lộ và sẽ thông báo cho những người dùng bị thu hồi token qua email.
Công ty cho biết thêm rằng: “Chúng tôi khuyến nghị bạn nên thay đổi bất kỳ khóa (key) hoặc token cũng như xem xét chuyển đổi HF token hiện tại sang các fine-grained access token (token cho phép truy cập đến tài nguyên cụ thể), điều này cũng được áp dụng trong cấu hình mặc định mới”.
Hugging Face chưa tiết lộ có bao nhiêu người dùng bị ảnh hưởng bởi sự cố này. Công ty đã báo cáo sự việc cho các cơ quan thực thi pháp luật và cơ quan bảo vệ dữ liệu.
Diễn biến này xảy ra khi sự phát triển bùng nổ của lĩnh vực AI đã đưa các nhà cung cấp dịch vụ AI (AIaaS) như Hugging Face vào tầm ngắm của những kẻ tấn công.
Vào đầu tháng 4, công ty bảo mật cloud Wiz đã tiết lộ chi tiết các vấn đề bảo mật trong Hugging Face có thể cho phép kẻ tấn công có được quyền truy cập của nhiều người thuê và đầu độc các mô hình AI/ML bằng cách chiếm quyền kiểm soát các quy trình tích hợp và triển khai liên tục (CI/CD).
Nghiên cứu trước đây do HiddenLayer thực hiện cũng đã phát hiện các lỗ hổng trong dịch vụ chuyển đổi Hugging Face Safetensors, khiến cho việc chiếm quyền điều khiển các mô hình AI do người dùng gửi và thực hiện các cuộc tấn công chuỗi cung ứng trở nên khả thi.
Các nhà nghiên cứu của Wiz lưu ý rằng: “Nếu một tác nhân độc hại xâm phạm nền tảng của Hugging Face, họ có thể có quyền truy cập vào các mô hình AI bí mật, các tập dữ liệu và ứng dụng quan trọng, dẫn đến nguy cơ gây thiệt hại trên diện rộng và rủi ro cho chuỗi cung ứng”.
Nguồn: thehackernews.com
Tín nhiệm mạng | DMM Bitcoin đang cảnh báo rằng 4.502,9 Bitcoin (BTC), tương đương khoảng 308 triệu USD, đã bị đánh cắp từ một trong các ví của họ vào ngày 31 tháng 5, khiến nó trở thành vụ đánh cắp tiền điện tử đáng chú ý nhất năm 2024
Tín nhiệm mạng | Cơ quan An ninh cơ sở hạ tầng và an ninh mạng Mỹ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Linux kernel vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Check Point đã phát hành các bản vá khẩn cấp (hotfix) cho lỗ hổng zero-day trong VPN đang bị khai thác trong các cuộc tấn công nhằm giành quyền truy cập từ xa vào tường lửa và xâm nhập vào mạng công ty.
Các nhà nghiên cứu bảo mật đã phát hành mã khai thác (PoC) cho một lỗ hổng có mức độ nghiêm trọng tối đa, đã được vá vào tháng 2, trong giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) của Fortinet.
Hơn 90 ứng dụng Android độc hại với hơn 5,5 triệu lượt cài đặt đã được phát hiện trên Google Play để phát tán các phần mềm độc hại và phần mềm quảng cáo, đáng chú ý trong số đó là Anatsa, một trojan ngân hàng có hoạt động tăng vọt trong thời gian gần đây.
Tín nhiệm mạng | Một lỗ hổng bảo mật có điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bị ảnh hưởng bằng cách gửi các request độc hại.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
