요약생성
바쁠 때는 리얼라이즈가 내용을 요약해 드려요.
지난 금요일 오후, 기업들이 보통 좋지 않은 정보를 공개하는 데 사용하는 시간대에 AI 스타트업 허깅 페이스는 이번 주 초 보안팀이 AI 모델 및 리소스를 생성, 공유 및 호스팅하기 위한 플랫폼인 Spaces에 대한 “무단 액세스“를 감지했다고 밝혔습니다.
허깅 페이스는 블로그 게시물에서 이번 침입이 Spaces 보안 키와 관련이 있다고 밝혔습니다. 보안 키는 계정, 도구 및 개발 환경과 같은 보호된 리소스의 잠금을 해제하는 키 역할을 하는 개인 정보이며, 허가 없이 제3자가 일부 보안 키에 액세스했을 수 있다는 “의혹“이 있다고 밝혔습니다.
허깅 페이스는 예방 조치로 해당 보안 키의 여러 토큰을 취소했습니다. (토큰은 신원을 확인하는 데 사용됩니다.) 허깅 페이스는 토큰이 취소된 사용자에게 이미 이메일로 알림을 보냈으며, 모든 사용자에게 “키 또는 토큰을 새로 고치고“ 허깅 페이스가 더 안전하다고 주장하는 세분화된 액세스 토큰으로 전환하는 것을 고려하도록 권장하고 있습니다.
잠재적인 침해로 인해 얼마나 많은 사용자 또는 앱이 영향을 받았는지는 즉시 확인되지 않았습니다. 더 자세한 정보를 얻기 위해 허깅 페이스에 연락했으며, 답변을 받으면 이 게시물을 업데이트하겠습니다.
허깅 페이스는 게시물에서 “외부 사이버 보안 포렌식 전문가들과 협력하여 문제를 조사하고 보안 정책과 절차를 검토하고 있습니다. 또한 이 사건을 법 집행 기관 및 데이터 [sic] 보호 당국에 신고했습니다.“라고 밝혔습니다. “이번 사건으로 인해 발생했을 수 있는 불편에 대해 깊이 사과드리며, 불편을 끼쳐드린 점 양해 부탁드립니다. 이번 사건을 계기로 전체 인프라의 보안을 강화하는 데 최선을 다하겠습니다.“
Spaces 해킹 가능성은 100만 개가 넘는 모델, 데이터 세트 및 AI 기반 앱을 보유한 최대 규모의 협업 AI 및 데이터 과학 프로젝트 플랫폼 중 하나인 허깅 페이스의 보안 관행에 대한 우려가 커지고 있는 가운데 나온 것입니다.
4월 클라우드 보안 회사 Wiz의 연구원들은 공격자가 허깅 페이스에서 호스팅하는 앱의 빌드 시간 동안 임의의 코드를 실행하여 자신의 컴퓨터에서 네트워크 연결을 검사할 수 있도록 하는 취약점을 발견했습니다(현재는 수정됨). 올해 초 보안 회사 JFrog는 허깅 페이스에 업로드된 코드가 은밀하게 백도어 및 기타 유형의 맬웨어를 최종 사용자 컴퓨터에 설치했다는 증거를 발견했습니다. 또한 보안 스타트업 HiddenLayer는 허깅 페이스의 표면적으로 더 안전한 직렬화 형식인 Safetensors가 손상된 AI 모델을 만드는 데 악용될 수 있는 방법을 확인했습니다.
허깅 페이스는 최근 Wiz와 협력하여 회사의 취약점 스캐닝 및 클라우드 환경 구성 도구를 사용하여 “플랫폼과 전체 AI/ML 생태계의 보안을 개선하는 것을 목표로“ 할 것이라고 밝혔습니다.