背景圖片取自Pawel Czerwinski on Unsplash

AI平臺Hugging Face上週公佈遭駭，呼籲所有用戶重設密碼或令牌等登入憑證，以免AI模型等研發成果被不法存取。

Hugging Face安全團隊上星期偵測到機器學習應用代管平臺Spaces，特別是和Spaces金鑰或令牌等相關的機密內容有未經授權的存取活動，相信可能有部分機密資訊已經遭竊。該公司已經註銷了多筆包含其中的HF令牌，並發出電子郵件通知受影響的用戶。

不過，為安全起見，Hugging Face建議所有用戶重設所有金鑰或令牌，並考慮將HF令牌改成可細部設定的存取令牌，目前Hugging Face已經將後者設為新的預設驗證方式。

Hugging Face強調除了調查此事後續事件，也已經加強Spaces基礎架構的安全防護，包括完全移除組織令牌以提升可追蹤性和稽覈能力、實作Spaces金鑰管理服務、提升系統辨識並註銷外洩令牌的能力等等。該公司計畫近日在更新的存取令牌功能更完善一點後，將關閉舊式具讀寫能力的令牌。該公司也已通報執法機關和資料防護主管機關。

作為全球最熱門的平臺之一，Hugging Face也是駭客攻擊的主要目標。去年底資安業者Lasso揭露Hugging Face的API漏洞，讓駭客有機會取得知名企業的身分驗證資訊，或汙染訓練資料、竊取、竄改AI模型。二個月前資安廠商Wiz也公佈API、推論端點、Spaces的漏洞可讓駭客上傳惡意模型至Hugging Face平臺，進而自遠端執行程式碼，或是擴張權限從事不法行為。