Hugging Face Detecta Acceso No Autorizado a su Plataforma de Spaces
El viernes, Hugging Face reveló que detectó acceso no autorizado a su plataforma Spaces a principios de esta semana.
«Sospechamos que un subconjunto de los secretos de Spaces podría haber sido accedido sin autorización,»
Declaró la compañía en un comunicado oficial.
Spaces ofrece a los usuarios una manera de crear, alojar y compartir aplicaciones de inteligencia artificial (IA) y aprendizaje automático (ML). También funciona como un servicio de descubrimiento para buscar aplicaciones de IA creadas por otros usuarios en la plataforma.
Medidas de Seguridad Tras el Incidente
En respuesta al evento de seguridad, Hugging Face dijo que está tomando la medida de revocar varios tokens HF presentes en esos secretos y que está notificando a los usuarios cuyos tokens fueron revocados vía correo electrónico.
«Recomendamos que refresquen cualquier clave o token y consideren cambiar sus tokens HF a tokens de acceso granular, que son el nuevo estándar,» agregó la compañía.
Hugging Face, sin embargo, no divulgó cuántos usuarios se vieron afectados por el incidente, el cual actualmente sigue bajo investigación.
También alertó a las agencias de aplicación de la ley y a las autoridades de protección de datos sobre la violación.
Riesgos y Antecedentes de Incidentes de Seguridad
Este desarrollo llega en un momento en que el crecimiento explosivo del sector de la IA ha puesto a los proveedores de IA como servicio (AIaaS) como Hugging Face en la mira de los atacantes, quienes podrían explotarlos con fines maliciosos.
A principios de abril, la firma de seguridad en la nube Wiz detalló problemas de seguridad en Hugging Face que podrían permitir a un adversario ganar acceso entre arrendatarios y envenenar modelos de IA/ML al tomar control de las tuberías de integración y despliegue continuo (CI/CD).
Investigaciones previas realizadas por HiddenLayer también descubrieron fallas en el servicio de conversión Safetensors de Hugging Face que hacían posible secuestrar los modelos de IA enviados por los usuarios y ejecutar ataques a la cadena de suministro.
«Si un actor malicioso comprometiera la plataforma de Hugging Face, podría potencialmente acceder a modelos de IA privados, conjuntos de datos y aplicaciones críticas, lo que llevaría a daños generalizados y riesgo para la cadena de suministro,»
investigadores de Wiz
