Offenlegung eines Secret-Lecks auf der Hugging Face Spaces-Plattform
(huggingface.co)- Anfang dieser Woche wurde auf der Spaces-Plattform ein unbefugter Zugriff im Zusammenhang mit Secrets festgestellt, und es besteht die Möglichkeit, dass auf einige Secrets von außen zugegriffen wurde
- Als erste Reaktionsmaßnahme wurden mehrere in Secrets enthaltene HF-Tokens widerrufen, und betroffene Nutzer wurden per E-Mail informiert
- Nutzern wird empfohlen, die betroffenen Keys und Tokens neu auszustellen und auf die nun standardmäßigen fine-grained access tokens umzusteigen
- Hugging Face untersucht den Vorfall gemeinsam mit externen Cybersecurity-Forensik-Experten und überprüft zugleich seine Sicherheitsrichtlinien und -verfahren
- Für die Spaces-Infrastruktur wurden org tokens entfernt, KMS eingeführt und die Erkennung sowie Ungültigmachung kompromittierter Tokens verstärkt; außerdem wurde der Vorfall den zuständigen Behörden gemeldet
Unbefugter Zugriff auf Spaces-Secrets und Maßnahmen für Nutzer
- Hugging Face hat auf der Spaces-Plattform einen unbefugten Zugriff im Zusammenhang mit Spaces secrets festgestellt
- Es besteht die Möglichkeit, dass auf einige Spaces secrets unbefugt zugegriffen wurde
- Im Zuge der ersten Wiederherstellungsmaßnahmen wurden mehrere in Secrets enthaltene HF tokens widerrufen
- Nutzer, deren Tokens widerrufen wurden, wurden bereits per E-Mail informiert
- Nutzern wird empfohlen, ihre Keys oder Tokens neu auszustellen
- Für HF tokens wird der Umstieg auf die neue Standardeinstellung fine-grained access tokens empfohlen
Verstärkte Sicherheit der Spaces-Infrastruktur und weitere Maßnahmen
- Hugging Face untersucht den Vorfall gemeinsam mit externen Cybersecurity-Forensik-Experten und überprüft seine Sicherheitsrichtlinien und -verfahren
- In den vergangenen Tagen wurde die Sicherheit der Spaces-Infrastruktur verstärkt
- org tokens wurden vollständig entfernt, um Nachvollziehbarkeit und Audit-Funktionen zu verbessern
- Für Spaces secrets wurde ein Key Management Service (KMS) eingeführt
- Die Systemfähigkeit zur Identifizierung und proaktiven Ungültigmachung kompromittierter Tokens wurde verstärkt und erweitert
- Die allgemeine Sicherheit wurde verbessert
- Sobald fine-grained access tokens funktionale Gleichwertigkeit erreicht haben, ist geplant, die „classic“ read/write tokens in naher Zukunft vollständig abzuschaffen
- Die Untersuchung möglicher damit zusammenhängender Vorfälle dauert an
- Hugging Face hat diesen Vorfall außerdem den Strafverfolgungsbehörden und Datenschutzaufsichtsbehörden gemeldet
- Anfragen werden unter security@huggingface.co entgegengenommen
1 Kommentare
Meinungen auf Hacker News
Ich weiß nicht, ob die Folien anderswo hochgeladen wurden; die Datei, die ich bekommen habe, liegt hier: https://dro.pm/c.pdf (45 MB), Folie 188.
Damals war mir nicht klar, dass das nicht nur für den Modellautor gilt, sondern dass dasselbe auch möglich wäre, wenn Hugging Face einen Gerichtsbeschluss erhält oder gehackt wird. Erst recht, wenn der Einbruch eine Zeit lang unbemerkt bleibt¹.
Ich bin nicht in der KI-Branche und habe solche Modelle nie selbst ausgeführt, aber ich war überrascht, wie schnell die Branche die Formate standardisiert hat. Ich dachte, eine Modelldatei bestünde aus großen Zahlenmatrizen und etwas Metadaten, aber Folien 186 und 195 zeigen, dass ein Modell im Grunde ein Python-Skript ist, das ziemlich frei tun kann, was es will; dadurch war die Standardisierung wohl einfach. Wenn man alle machen lässt, was sie wollen, umgeht man das Problem, aber das hat seinen Preis.
¹ Laut https://www.verizon.com/business/resources/articles/s/how-to... bemerken 20 % einen Einbruch monatelang nicht. Das hängt natürlich von der Situation und vom Verhalten des Angreifers ab.
Das Problem, auf das man dann sofort stößt, sind benutzerdefinierte Layer/Operatoren und deren Inferenzlogik. Man muss alles mit den unterstützten Operationen implementieren, was in der Praxis schwierig oder unmöglich sein kann; oder man muss zur Laufzeit Operator-Implementierungen bereitstellen und ist damit letztlich wieder am Ausgangspunkt.
[1] https://onnx.ai/
Es ist fast ein Format aus „großen Zahlenmatrizen und etwas Metadaten“, und einige Schwachstellen wurden gefunden und gepatcht.
[1] https://www.databricks.com/blog/ggml-gguf-file-format-vulner...
[0]: https://huggingface.co/docs/hub/en/security-pickle
Für spätere Leser habe ich das Video des Vortrags gefunden: https://m.youtube.com/watch?v=8XysLIq-e3s
Hugging Face sagt immerhin sinngemäß: „Wahrscheinlich wurde auf Secrets zugegriffen, aber wir können es nicht bestätigen.“ Das wirkt ehrlicher.
Sollten solche Arbeiten vor dem Rollout in die Produktion nicht zeitaufwendigere Schritte wie Sicherheitsaudits oder Penetrationstests auslösen?
Ich bin mir ziemlich sicher, dass der Leak über die Secrets eines HF Space passiert ist. Vor ein paar Tagen habe ich eine Warnmeldung bekommen, dass einige meiner Spaces betroffen waren.
.env-Datei gespeichert ist, ist öffentlich.Vor ein paar Tagen bekam ich eine E-Mail, dass die betreffenden Spaces kompromittiert wurden; dieses Problem scheint also mindestens schon seit einigen Wochen zu bestehen.
Oder geht es hier rein um den Diebstahl von Daten/Code?
https://huggingface.co/docs/hub/en/spaces-overview
Es scheint eine Frontend-/Portal-Seite zu sein und dürfte in Python geschrieben sein. Vielleicht etwas wie Django.
Könnten sie nicht nur öffentliche Schlüssel speichern, während Nutzer die privaten Schlüssel behalten und Anfragen signieren?