Hugging Face, OpenAI sürümü gibi görünen kötü amaçlı bir yazılıma ev sahipliği yaptı.
Özet
Hugging Face üzerinde OpenAI’ın "Gizlilik Filtresi"ni taklit eden kötü niyetli bir yapay zeka modeli, kullanıcıların Windows sistemlerine bilgi hırsızı yazılımlar bulaştırdı. Saldırganlar, modelin popülaritesini yapay indirme ve beğenilerle artırarak meşru bir araç gibi görünmesini sağladı. Bu durum, geliştiricilerin kullandığı açık kaynaklı model depolarının, kurumsal sistemlere sızmak için ciddi bir tedarik zinciri riski oluşturduğunu gözler önüne seriyor. Araştırmacılar, özellikle kurulum talimatlarında yer alan şüpheli komutların bu tür saldırıların temelini oluşturduğuna dikkat çekerek kullanıcıları uyarıyor.
Yapay zeka güvenlik firması HiddenLayer tarafından yapılan araştırmaya göre, OpenAI'ın bir sürümü gibi görünen kötü niyetli bir Hugging Face deposu, Windows makinelerine bilgi hırsızı kötü amaçlı yazılım bulaştırdı ve kaldırılmadan önce yaklaşık 244.000 indirme kaydetti. İndirme sayısı, modeli daha popüler göstermek amacıyla saldırganlar tarafından yapay olarak artırılmış olabileceğinden, saldırının etkilerinin boyutu bilinmiyor.
‘Open-OSS/privacy-filter’, OpenAI’ın Gizlilik Filtresi sürümünü taklit etti. HiddenLayer, orijinal model kartının neredeyse birebir kopyalandığını ve kötü niyetli aktörlerin, Windows ana bilgisayarlarında kimlik bilgisi çalan kötü amaçlı yazılımları getirip çalıştıran zararlı bir loader.py dosyası eklediğini belirtti.
Depolar, 18 saatten kısa bir sürede 667 beğeni toplayarak Hugging Face’teki ‘trendler’ listesinin zirvesine ulaştı; yine bu rakamın da saldırganlar tarafından değiştirilmiş olabileceği düşünülüyor.
Geliştiriciler ve veri bilimcileri modelleri doğrudan kaynak koduna, bulut kimlik bilgilerine ve dahili sistemlere erişimi olan kurumsal ortamlara klonladıkça, halka açık yapay zeka modeli kayıt defterleri yazılım tedarik zincirinde risk haline geliyor olabilir. Sadece bu durum bile, ele geçirilmiş bir model deposunu bir rahatsızlıktan daha fazlası haline getiriyor.
Sahte modelin README dosyası meşru projeninkine çok benziyordu, ancak orijinalinden farklı olarak kullanıcılara Windows'ta start.bat dosyasını çalıştırmalarını veya Linux ve macOS'ta python loader.py komutunu yürütmelerini talimat veriyordu; bu talimatlar, HiddenLayer tarafından açıklanan enfeksiyon zincirinin merkezinde yer alıyordu.
Araştırmacılar daha önce, kötü amaçlı kodların Hugging Face ve diğer halka açık kayıt defterlerindeki yapay zeka modeli dosyalarının veya ilgili kurulum betiklerinin içine gizlenebileceği konusunda uyarılarda bulunmuştu. Önceki vakalar, platform tarayıcılarını baypas eden Pickle ile serileştirilmiş model dosyalarını içeriyordu.