私たちは、プラットフォームと AI/ML エコシステム全体のセキュリティを向上させることを目的として Wiz と提携することを発表できることを嬉しく思います。
Wiz の研究者は、Hugging Face と協力してプラットフォームのセキュリティに取り組み、その結果を共有しています。 Wiz は、顧客が安全な方法でソフトウェアを構築および保守できるよう支援するクラウド セキュリティ会社です。この調査結果のリリースに伴い、関連するハグフェイスのセキュリティ改善点をいくつか紹介する機会を設けます。
-
Wiz と Hugging Face のパートナーシップに関する詳細情報 https://www.wiz.io/blog/wiz-and-hugging-face-address-risks-to-ai-infrastruct
Hugging Face は最近、脆弱性管理のために Wiz を統合しました。これは、当社のプラットフォームをセキュリティの脆弱性から確実に保護する継続的なプロアクティブなプロセスです。さらに、当社では Wiz for Cloud Security Posture Management (CSPM) を使用しています。これにより、クラウド環境を安全に構成し、クラウド環境を監視してセキュリティを確保できます。
私たちのお気に入りの Wiz 機能の 1 つは、ストレージからコンピューティング、ネットワークに至るまで、脆弱性を総合的に把握できることです。当社では複数の Kubernetes (k8s) クラスターを実行しており、複数のリージョンとクラウド プロバイダーにまたがるリソースを持っているため、各脆弱性の完全なコンテキスト情報を含む中央レポートを 1 つの場所に保存できることは非常に役立ちます。また、当社の製品、特にスペースで検出された問題を自動的に修正するツールも構築しました。
共同作業の過程で、Wiz のセキュリティ研究チームは、pickle を使用してシステム内で任意のコードを実行するという、サンドボックス コンピューティング環境の欠陥を特定しました。このブログと Wiz のセキュリティ調査をお読みになる際は、当社がこの脆弱性に関連するすべての問題に対処しており、脅威の検出とインシデント対応のプロセスにおいて引き続き警戒を続けることを忘れないでください。
ハグフェイスセーフティ
ハグフェイスでは安全性を非常に重視しています。人工知能が急速に進歩するにつれて、新しい脅威ベクトルが毎日出現しているようです。 Hugging Face はテクノロジー業界の大手企業との複数のパートナーシップやビジネス関係を発表していますが、当社はユーザーと AI コミュニティが責任を持って AI/ML システムとテクノロジーを実験および運用できるようにすることに引き続き取り組んでいます。私たちは、コミュニティが貢献し、私たち全員に影響を与えるこのパラダイム シフトに参加できるように、プラットフォームのセキュリティを確保し、AI/ML の民主化を推進することに全力で取り組んでいます。私たちは、ユーザーと顧客をセキュリティの脅威から保護するという取り組みを再確認するためにこのブログを書きました。以下では、物議を醸している pickle ファイルのサポートに関する Hugging Face の哲学についても説明し、pickle 形式から離れるという共通の責任についても説明します。
また、近い将来、多くの魅力的なセキュリティの改善と発表が行われる予定です。これらの出版物では、Hugging Face プラットフォーム コミュニティが直面するセキュリティ リスクについて説明するだけでなく、AI のシステム全体のセキュリティ リスクと最適な緩和策についても取り上げます。当社は、製品、インフラストラクチャ、AI コミュニティのセキュリティを確保することに常に取り組んでいます。今後のセキュリティに関するブログ投稿やホワイト ペーパーにご注目ください。
オープンソースのセキュリティ コラボレーションとコミュニティ向けツール
私たちは透明性とコミュニティとの協力を重視しています。これには、脆弱性の特定と公開への参加、セキュリティ問題の共同解決、セキュリティ ツールの開発が含まれます。以下は、AI コミュニティ全体がセキュリティ リスクを軽減するのに役立つコラボレーションを通じて達成されるセキュリティ成果の例です。
-
Picklescan は Microsoft と共同で開発されました。プロジェクトは Matthieu Maitre によって開始され、社内にも同じツールのバージョンがあったため、私たちは力を合わせて Picklescan に貢献しました。この仕組みについて詳しく知りたい場合は、次のドキュメント ページを参照してください: https://hf.co/docs/hub/en/security-pickle
-
Safetensor は、Nicolas Patry によって開発された pickle ファイルのより安全な代替品です。 Safetensor は、EuletherAI および Stability AI との共同プロジェクトにおいて、Trail of Bits によって監査されました。
https://hf.co/docs/safetensors/en/index
-
当社には、世界中から多くの優れた研究者を惹きつける強力なバグ報奨金プログラムがあります。セキュリティの脆弱性を特定した研究者は、[email protected] に連絡することでプログラムに参加できます。
-
マルウェア スキャン: https://hf.co/docs/hub/en/security-malware
-
プライバシー スキャン: 詳細については、次のリンクを参照してください: https://hf.co/docs/hub/security-secrets
-
前述したように、私たちはプラットフォームのセキュリティ リスクを軽減するために Wiz とも協力しています。
-
AI/ML コミュニティが直面しているセキュリティ問題に対処するために、一連のセキュリティ関連出版物を発行します。
オープンソース AI/ML ユーザーのためのセキュリティのベスト プラクティス
-
AI/ML は新しい攻撃ベクトルを導入しますが、これらの攻撃の多くについては、緩和策が以前から存在し、知られていました。セキュリティ専門家は、関連するセキュリティ制御が AI リソースとモデルに適用されていることを確認する必要があります。さらに、オープン ソース ソフトウェアとモデルを使用する場合のリソースとベスト プラクティスをいくつか紹介します。 -
貢献者を知る: 信頼できるソースからのモデルのみを使用し、コミット署名に注意してください。 https://hf.co/docs/hub/en/security-gpg -
運用環境では pickle ファイルを使用しないでください -
Safetensor の使用: https://hf.co/docs/safetensors/en/index -
OWASP トップ 10 のレビュー: https://owasp.org/www-project-top-ten/ -
Hugging Face アカウントで MFA を有効にする -
適切なセキュリティ トレーニングを受けたセキュリティ専門家またはエンジニアによるコード レビューを含む、安全な開発ライフサイクルを確立します。 -
非実稼働環境および仮想化されたテスト/開発環境でモデルをテストします。
Pickle ファイル – 無視できないセキュリティリスク
Pickle ファイルは、Wiz の研究や、Hugging Face に関するセキュリティ研究者によるその他の最近の出版物の焦点となっています。 Pickle ファイルは長い間セキュリティ リスクであると考えられてきました。詳細については、ドキュメントを参照してください: https://hf.co/docs/hub/en/security-pickle
これらの既知のセキュリティ上の欠陥にもかかわらず、AI/ML コミュニティは依然として pickle ファイル (または同様の簡単に悪用可能な形式) を頻繁に使用しています。これらのユースケースの多くはリスクが低いか、テスト目的のみであるため、pickle ファイルの使いやすさと使いやすさの方が、より安全な代替手段よりも魅力的です。
オープンソースの人工知能プラットフォームとして、次のオプションがあります。
-
ピクルドファイルを完全に無効にする -
ピクル化されたファイルには何もしない -
ピクルスされたファイルに関連するリスクを合理的かつ現実的に軽減しながら、ピクルス化を可能にする中間点を見つける
現在、妥協案である 3 番目のオプションを選択しています。この選択はエンジニアリング チームとセキュリティ チームにとって負担ですが、AI コミュニティが選択したツールを使用できるようにしながら、リスクを軽減することに多大な努力を払ってきました。ピクルス関連のリスクに対して当社が実施した主な緩和策には次のようなものがあります。
-
リスクを概説する明確な文書を作成する -
自動スキャンツールを開発する -
使用扫描工具和标记具有安全漏洞的模型并发出明确的警告 -
我们甚至提供了一个安全的解决方案来代替 pickle (Safetensors) -
我们还将 Safetensors 设为我们平台上的一等公民,以保护可能不了解风险的社区成员 -
除了上述内容之外,我们还必须显着细分和增强使用模型的区域的安全性,以解决其中潜在的漏洞
我们打算继续在保护和保障 AI 社区方面保持领先地位。我们的一部分工作将是监控和应对与 pickle 文件相关的风险。虽然逐步停止对 pickle 的支持也不排除在外,但我们会尽力平衡此类决定对社区的影响。
需要注意的是,上游的开源社区以及大型科技和安全公司在贡献解决方案方面基本上保持沉默,留下 Hugging Face 独自定义理念,并大量投资于开发和实施缓解措施,以确保解决方案既可接受又可行。
结束语
我在撰写这篇博客文章时,与 Safetensors 的创建者 Nicolas Patry 进行了广泛交流,他要求我向 AI 开源社区和 AI 爱好者发出行动号召:
-
主动开始用 Safetensors 替换您的 pickle 文件。如前所述,pickle 包含固有的安全缺陷,并且可能在不久的将来不再受支持。 -
继续向您喜欢的库的上游提交关于安全性的议题/PR,以尽可能推动上游的安全默认设置。
AI 行业正在迅速变化,不断有新的攻击向量和漏洞被发现。Hugging Face 拥有独一无二的社区,我们与大家紧密合作,以帮助我们维护一个安全的平台。
请记住,通过适当的渠道负责任地披露安全漏洞/错误,以避免潜在的法律责任和违法行为。
想加入讨论吗?请通过 [email protected] 联系我们,或者在 LinkedIn/Twitter 上关注我们。
英文原文: https://hf.co/blog/hugging-face-wiz-security-blog
原文作者: Josef Fukano, Guillaume Salou, Michelle Habonneau, Adrien, Luc Georges, Nicolas Patry, Julien Chaumond
译者: xiaodouzi
本文分享自微信公众号 - Hugging Face(gh_504339124f0f)。
如有侵权,请联系 [email protected] 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。