Empresa De IA Hugging Face Detecta Acesso Não Autorizado À Sua Plataforma De Espaços

Uma empresa de Inteligência Artificial (IA) chamada Hugging Face informou na sexta-feira que detectou acesso não autorizado à sua plataforma Spaces no início desta semana.

“Acredita-se que um subconjunto dos segredos do Spaces possa ter sido acessado sem autorização”, disse em um comunicado.

O Spaces oferece uma maneira para os usuários criar, hospedar e compartilhar aplicativos de IA e aprendizado de máquina (ML). Também funciona como um serviço de descoberta para buscar aplicativos de IA feitos por outros usuários na plataforma.

Em resposta ao incidente de segurança, o Hugging Space informou que está tomando a medida de revogar um número de tokens HF presentes nesses segredos e que está notificando os usuários que tiveram seus tokens revogados por e-mail.

“Recomendamos que você atualize qualquer chave ou token e considere a possibilidade de mudar seus tokens HF para tokens de acesso mais granulares, que são a nova configuração padrão”, acrescentou.

No entanto, a Hugging Face não divulgou quantos usuários foram impactados pelo incidente, que está atualmente sob investigação adicional. Também informou às autoridades policiais e às autoridades de proteção de dados sobre a violação.

Esse desenvolvimento ocorre conforme o crescimento explosivo do setor de IA colocou os provedores de IA como serviço (AIaaS) como a Hugging Face na mira dos atacantes, que poderiam explorá-los para fins maliciosos.

No início de abril, a empresa de segurança em nuvem Wiz detalhou problemas de segurança na Hugging Face que poderiam permitir que um adversário ganhasse acesso cruzado entre inquilinos e envenenasse modelos de IA/ML assumindo o controle dos pipelines de integração contínua e implantação contínua (CI/CD).

Pesquisas anteriores realizadas pela HiddenLayer também descobriram falhas no serviço de conversão Safetensors da Hugging Face que tornavam possível sequestrar os modelos de IA enviados pelos usuários e realizar ataques à cadeia de suprimentos.

“Se um ator malicioso comprometer a plataforma da Hugging Face, eles poderiam potencialmente ter acesso a modelos de IA privados, conjuntos de dados e aplicativos críticos, levando a danos generalizados e potenciais riscos na cadeia de suprimentos”, observaram os pesquisadores da Wiz em abril.