Подумаешь, запустились в песочнице бота скажите вы.
Вы можете украсть сессионный токен HF:
А также продвинуться дальше (в статье например показано как исследователи сделали веб-хук с токеном Hugging Face SFConvertbot, отправив вредоносный запрос на выгрузку в любой репозиторий на сайте, выдавая себя за легитимный, официальный сервис.).
Но исследователи пошли ещё дальше. Им хотелось проверить - перезапускается ли сервис каждый раз, когда пользователь пытается конвертировать модель, чтобы оценить возможность персистентности. Для этого они создали собственное пространство Hugging Face Space, построенное на Gradio SDK, для того чтобы оно больше было похожим на бота для преобразования.
Тоесть вот злоумышленник взаимодействует с загруженной моделью в HF Space, и нужно сделать так, чтобы все его действия, которые он выполнял на сервере – сохранились. Даже при обновлении страницы в браузере. Спойлер – им удалось и этого достичь.
Так как я уже достаточно много расписал, то места для PoC, которые они использовали – не осталось. Но я всё-же рекомендую вам ознакомится самостоятельно с данным исследованием и такой вот интересной техникой для компроментации модельхаба. Я не рассказал о том как они обходили фильтры размерности моделей - для этого у них тоже есть PoC.
Ну и завершим пост такой мыслью:
Из 10 самых загружаемых моделей Google и Microsoft вместе взятых, модели, принявшие слияние с ботом, за последний месяц получили ошеломляющее количество загрузок - 16 342 855. Хотя 20 моделей - это лишь небольшое подмножество из 500 000 с лишним моделей, размещенных на Hugging Face, они охватывают невероятное количество пользователей, что заставляет нас задаться вопросом: учитывая, что бот сделал 42 657 вкладов, сколько пользователей скачали потенциально скомпрометированную модель?
Приятного дня! Огонёчки ... все дела...
Вы можете украсть сессионный токен HF:
os.environ.get(“HF_TOKEN”).
А также продвинуться дальше (в статье например показано как исследователи сделали веб-хук с токеном Hugging Face SFConvertbot, отправив вредоносный запрос на выгрузку в любой репозиторий на сайте, выдавая себя за легитимный, официальный сервис.).
Но исследователи пошли ещё дальше. Им хотелось проверить - перезапускается ли сервис каждый раз, когда пользователь пытается конвертировать модель, чтобы оценить возможность персистентности. Для этого они создали собственное пространство Hugging Face Space, построенное на Gradio SDK, для того чтобы оно больше было похожим на бота для преобразования.
Тоесть вот злоумышленник взаимодействует с загруженной моделью в HF Space, и нужно сделать так, чтобы все его действия, которые он выполнял на сервере – сохранились. Даже при обновлении страницы в браузере. Спойлер – им удалось и этого достичь.
Так как я уже достаточно много расписал, то места для PoC, которые они использовали – не осталось. Но я всё-же рекомендую вам ознакомится самостоятельно с данным исследованием и такой вот интересной техникой для компроментации модельхаба. Я не рассказал о том как они обходили фильтры размерности моделей - для этого у них тоже есть PoC.
Ну и завершим пост такой мыслью:
Из 10 самых загружаемых моделей Google и Microsoft вместе взятых, модели, принявшие слияние с ботом, за последний месяц получили ошеломляющее количество загрузок - 16 342 855. Хотя 20 моделей - это лишь небольшое подмножество из 500 000 с лишним моделей, размещенных на Hugging Face, они охватывают невероятное количество пользователей, что заставляет нас задаться вопросом: учитывая, что бот сделал 42 657 вкладов, сколько пользователей скачали потенциально скомпрометированную модель?
Приятного дня! Огонёчки ... все дела...