The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код

29.02.2024 10:56

Исследователи из компании JFrog выявили в репозитории Hugging Face вредоносные модели машинного обучения, установка которых может привести к выполнению кода атакующего для получения контроля над системой пользователя. Проблема вызвана тем, что некоторые форматы распространения моделей допускают встраивание исполняемого кода, например, модели, использующие формат "pickle", могут включать сериализированные объекты на языке Python, а также код, выполняемый при загрузке файла, а модели Tensorflow Keras могут исполнять код через Lambda Layer.

Для предотвращения распространения подобных вредоносных моделей в Hugging Face применяется сканирование на предмет подстановки сериализированного кода, но выявленные вредоносные модели показывают, что имеющиеся проверки можно обойти. Кроме того, Hugging Face в большинстве случаев лишь помечает модели опасными, не блокируя к ним доступ. Всего выявлено около 100 потенциально вредоносных моделей, 95% из которых предназначены для использования с фреймворком PyTorch, а 5% c Tensorflow. Наиболее часто встречающимися вредоносными изменениями названы захват объекта, организация внешнего входа в систему (reverse shell), запуск приложений и запись в файл.

Отмечается, что, судя по совершаемым действиям, большинство выявленных вредоносных моделей созданы исследователями безопасности, пытающимися получить вознаграждение за обнаружение уязвимостей и методов обхода защиты Hugging Face (например, вместо реальной атаки подобные модели пытаются запустить калькулятор или отправить сетевой запрос с информацией об успехе атаки). При этом встречаются и экземпляры, запускающие обратный shell для подключения атакующего к системе.

Например, модели "baller423/goober2 и "star23/baller13" нацелены на совершения атаки на системы, загружающие файл модели в PyTorch при помощи функции torch.load(). Для организации выполнения кода задействован метод "__reduce__" из модуля pickle, позволяющий вставить произвольный Python-код в процесс десериализации, выполняемый при загрузке модели.

  1. Главная ссылка к новости (https://jfrog.com/blog/data-sc...)
  2. OpenNews: Техника атаки на системы, использующие алгоритмы машинного обучения
  3. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  4. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  5. OpenNews: Атака на немецкие компании через NPM-пакеты
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60691-ai
Ключевые слова: ai, model, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alladin (?), 11:04, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Как неожиданно, исполняемый код на Python может быть вредоносным!
     
     
  • 2.6, Аноним (-), 11:58, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >  Как неожиданно, исполняемый код на Python может быть вредоносным!

    "S" in python stands for security!

     
     
  • 3.23, hehe (?), 15:57, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    аж хорошо)
     
  • 2.24, Аноним (24), 15:58, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Быстрее переписывай на раст, а то не успеешь!
     
  • 2.44, Данные в так называемом поле Name (?), 09:35, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Исполняемый код на пистоне может быть НЕ вредоносным?!
     

  • 1.2, Аноним (2), 11:08, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не зря придумали safetensors.
     
     
  • 2.31, Аноним (31), 18:56, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зря Это растоподелка сделана исключительно из NIH-синдрома Лучший аналог safet... большой текст свёрнут, показать
     
     
  • 3.32, Аноним (32), 19:02, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И на numpy npy в статье грязная клевета. Там эта pickle опционален (для произвольных массивов, содержащих питоньи объекты, которые днём с огнём IRL не сыщещь) и её руками включать надо, потому что по-умолчанию там allow_pickle=False.
     
     
  • 4.42, Аноним (-), 02:39, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И на numpy npy в статье грязная клевета. Там эта pickle опционален
    > (для произвольных массивов, содержащих питоньи объекты, которые днём с огнём IRL
    > не сыщещь) и её руками включать надо, потому что по-умолчанию там
    > allow_pickle=False.

    Ну так бэкдор тоже - опциональный. Однако нелохов с такими опциями как раз и раздербанят. Питоняши же замечают проблему только когда уже по горло в г-не.

     
  • 3.33, Аноним (33), 19:12, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На ONNX там уточняю, https hiddenlayer com research weaponizing-machine-learn... большой текст свёрнут, показать
     
     
  • 4.43, Аноним (-), 02:42, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. ONNX действительно позволяет исполнять свой код ... потому что кодирует
    > вычислительный граф.

    Офигенно, WMF файлы переизобрели. Привет из прошлого.

    > 2. Но по-умолчанию все эти узлы безопасные, без ввода/вывода. Ну код там
    > — это как чисто математическая формула в калькуляторе.

    Ога, а что если формула rowhammer попробует? :)

    > 4. ... если не используются кастомные расширения. Которые фреймворку ещё и реализовать
    > надо, и каких не будет ни в одном адекватном софте для инференса.

    TL;DR "это было давно и неправда!". А вот скрипт транзакции биткоина - вообще таки мало что может. По счатью. Не, он совсем не могет ничего вредного на системе юзера сделать. И даже rowhammer напряжется, из-за ценника на объем места в блоке и проч.

     

  • 1.3, Аноним (3), 11:14, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Кто бы мог подумать. Непонятные многогигабайтные блобы с исполняемым кодом, в которые никто не смотрит, могут содержать малварь. Удивительно.
     
  • 1.5, Аноним (-), 11:57, 29/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     
  • 1.7, Аноним (7), 12:02, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждем RABIDS, датакрэш и вот это вот все.
     
  • 1.8, анон (?), 12:27, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем усложнять?

    Натренировать AI, чтоб он сам вредоносный код сочинял,прямо на пользовательской машине. Сразу на любом доступном на машине языке. Зачем ограничивать себя питоном?

     
     
  • 2.9, Аноним (3), 12:31, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В том и дело. Существующие генеративные ml-модели выдают осмысленные результаты только когда они могут украсть существующее, уже кому-то принадлежащее. Они не создают новое.
     
     
  • 3.12, пох. (?), 13:17, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Я что - САМ что ли должен этой модели вредоносный код писать и на блюдечке скармливать?!

    Идите вы.... у меня лапки!

    А натренировать ее писать за меня CoC.md я конечно могу, но зачем - все ж обычно просто ctrlc/ctrlv делают.

     
     
  • 4.14, Аноним (14), 13:24, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > CoC.md

    Сколько смотрю ваши ответы на опеннет, никак вас в покое Code of Conduct не оставит. Хотя вещь-то нужная, не от хорошей жизни ведь его пришлось везде принимать. Командная работа - тот ещё адок, без правил тут не обойтись

     
     
  • 5.16, пох. (?), 13:29, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот поэтому я пишу CoC а не README.md - в половине проектов его и вовсе нету.

    Речь-то не о нужности (в большинстве проектов на полтора васяна - не особо-то) а о том что в большинстве случаев с этим-то справляются, даже без ИИ, а вот на языках посложнее маркадуна - что-то не идет.

     
     
  • 6.18, Хру (?), 14:39, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все эти СоС-и нужны потому что не работает классическая фраза: "дввайте уважать друг друга, уроды е###ые!" :)
     
     
  • 7.45, 1 (??), 12:01, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    выничегонепонимаите !!!
    Если есть CoC -это модно молодёжно залито смузями с гироскутера ... И как только бородатые кодеры выйдут из барбершопа, они сразу кинуться реализовывать прожэкт.
     
  • 7.47, Аноним (47), 13:11, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Работают только агрессивные баны придурков. Особенно тех, кто начинает разборки "это нарушение CoC — нет, ты сам нарушил!", и наличие CoC как раз такие разборки провоцирует.
     
  • 3.15, Другой анон (?), 13:28, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и хорошо. Дам тогда ИИ "украсть" у меня код зловреда
     

  • 1.10, 12yoexpert (ok), 12:54, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ну хоть кто-то чувствует рыночек и понимает, что дурить инвесторов вечно не получится, хайп генеративных моделей спадает, а бабки делать надо. вот и делают, что могут. затроянить хост гораздо выгоднее сиюминутного майнинга
     
     
  • 2.13, пох. (?), 13:19, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > делают, что могут. затроянить хост гораздо выгоднее сиюминутного майнинга

    чем выгоднее? Намайненая сотняжка - лежит в маем кафэлечечке и она - моя.
    А твоего троянца через неделю снесут вместе с моделью (и виндой или что там) и пользы от него вообще ноль будет.

    Майнить просто стало тяжко. На пихоне хороших результатов ждать не приходится.

     
     
  • 3.20, 12yoexpert (ok), 15:42, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну да, трояны ж через магазин удаляются или через панель управления, это все знать

    открою страшную тайну, кстати: через трояны можно майнить

     
     
  • 4.21, пох. (?), 15:45, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ну да, трояны ж через магазин удаляются или через панель управления

    какой магазин-шмагазин, reset/reinstall

    ты думаешь эти дурацкие модели кто-то на локалхосте чтоль гоняет?

    Впрочем такой локалхост тоже обычно так же - потому что на нем и без моделей через месяцок "вендатормозит" и прочие страдания. А тот, другой васян  - за этот месяцок дура-не дура а полсотку имеет.

     
     
  • 5.22, Аноним (3), 15:55, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хомячьё очень любит блобы из интернета запускать, у них можно поживиться кредитками и криптой. Разрабы тоже, с этих можно вытряхнуть токенов для каких-нибудь облаков, а то и популярный проект угнать.
     
     
  • 6.25, пох. (?), 16:07, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, я не знаю как там хомячье, но в твоем случае совершенно уверен - ты этот блоб из интернета - не запустишь.

    Просто не поймешь как его запускают. (Да и что с ним делать дальше - тоже.)


     
     
  • 7.26, Аноним (3), 16:11, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А вот тут ты неправ, видимо, даже хомячьё поумнее тебя будет. В крайнем случае, можно найти инструкции по использованию, они буквально пошаговые.
     
     
  • 8.27, пох. (?), 16:12, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну поищи, поищи ... текст свёрнут, показать
     
     
  • 9.28, Аноним (3), 16:23, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А мне зачем Это у тебя же сложности и зависть к хомячью, которое без проблем за... текст свёрнут, показать
     
     
  • 10.29, пох. (?), 17:25, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    понятно Ну то есть как я и говорил - ты - не запустишь Безопастно От святой в... текст свёрнут, показать
     
     
  • 11.30, Аноним (3), 17:42, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сам сначала проецируешь, что тебе сложно и не найти пошаговые инструкции с карти... текст свёрнут, показать
     

  • 1.34, Аноним (34), 19:23, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Также добавлю, что проблема с пиклами известна очень давно. И нерешаема. Потому что проблема не с пиклами, а с ЧСВ программистов.

    С PyTorch ещё кое-как проблему давно решили через SafeTensors (собственно под этим предлогом safetensors и запилили).

    А вот с scikit-learn и ненейросетевым машобом проблему никто не решит. Есть куча либ с заинлайненными пиклами с претренированными моделями sklearn, разрабов которых всё это ниибьёт — они кое-как на коленке либу сделали (которая работает), статью написали, а на остальное всё болт положили, даже на PRы не реагируют. При этом все, кому нужна функциональность, ставят их либу с потенциальным бекдором, а не форк, где все коэффициенты пересериализованы в безопасный формат и безопасно грузятся.

     
     
  • 2.41, Аноним (41), 01:20, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Узнаю портрет товарищей учёных. Исследование проведено, результат описан, полезен, объяснён.

    Но мало кто понимает, что для коммерции и домашнего хозяйства нужно полученное знание преобразовать в законченный софт. Чем наука и отличается от производственной линии.

     
     
  • 3.46, 1 (??), 12:05, 01/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.35, Аноним (35), 19:29, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Также добавлю, что я начинал писать безопасный загрузчик пиклов pytorchа, это вполне реализуемо, но почему-то не доделал его. Главное из пикла сделать AST, и обходить уже его, проверяя все операции.
     
     
  • 2.39, Аноним (39), 23:41, 29/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но почему-то не доделал его

    вполне очевидно почему, потому что иксперт опеннет

     

  • 1.37, Аноним (37), 20:36, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто не в курсе ckpt может выполнять код на Python. В отличии от safetenzor, который не может.
     
  • 1.40, Аноним (41), 01:18, 01/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > помечает модели опасными, не блокируя к ним доступ

    Умные люди. Заставили голову включать сначала, потом уже решать делать ли. И только после делать.

     
     
  • 2.49, Kuromi (ok), 16:19, 01/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какие такие умные люди? Картинки рисует уже AI, музыку скоро будет писать AI, отзывы на сайтах проверяет AI и так далее. Очень скоро оценивать вредоносность моделей будет другая модель.
    Умные люди больше не нужны, максимум - готовые за миску риса махать киркой в шахте ради тех самых редкоземельных металлов которые потом AI гоняют.
    Прям удивительно как плавно человечество переходит в финал историй в духе "боролись как-то люди с роботами за место под солнцем", причем даже без борьбы.
     
     
  • 3.50, Аноним (50), 06:28, 02/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Прям удивительно как плавно человечество переходит в финал историй в духе "боролись
    > как-то люди с роботами за место под солнцем", причем даже без борьбы.

    Есть теория что люди будут первым видом на этой планете СОЗДАВШИМ потомков которые его заменят.

     
     
  • 4.51, Аноним (51), 11:34, 02/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    С каких это пор ближайший общий предок Homo Sapiens и Tineola bisselliella перестал быть биологическим видом? Ведь создавать можно не только при помощи рук и ума...
     
  • 4.52, Kuromi (ok), 16:45, 02/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Прям удивительно как плавно человечество переходит в финал историй в духе "боролись
    >> как-то люди с роботами за место под солнцем", причем даже без борьбы.
    > Есть теория что люди будут первым видом на этой планете СОЗДАВШИМ потомков
    > которые его заменят.

    Ну, с учетом того СКОЛЬКО всего интересно может уничтожить людей в 21-ом (максимум - 22-ом) веке я думаю что уже и не важно кто там будет потомки. У нас на выбор - первичные климатические изменения, исчерпание ресурсов, и вторичные им повышение уровня моря, засухи, голод, нехватка чистой воды, переселение народов, стычки и войны за ресурсы, территорию. А кроме того эпидемии, старые политические обиды, угроза ядерной войны и уже вишенкой на торте - ИИ который захочет убить всех человеков.

    Но то как весело и с визгом люди шпилят ИИ не слушая опасений "а он точно будет нам подчиняться" - ну это конечно достойно сюжета кино.

     
     
  • 5.53, Аноним (53), 14:34, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >угроза ядерной войны
    >меня нисколько не бьёт

    (ц)

     

  • 1.48, Kuromi (ok), 16:16, 01/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это еще что, настоящие вредоносные модели решать человеков убивать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру