Hugging Face’in Spaces platformundaki Secret sızıntısı olayı açıklandı

 (huggingface.co)
3 puan yazan GN⁺ 2024-06-03 | 1 yorum | WhatsApp'ta paylaş

Hugging Face’in güvenlik olayına müdahalesi

Olay özeti

  • Hugging Face’in Spaces platformunda yetkisiz erişim tespit edildi.
  • Bazı Spaces’lerin gizli bilgilerinin izinsiz olarak erişilmiş olabileceği düşünülüyor.

Müdahale adımları

  • İlk adım olarak, ilgili HF token’ları iptal edildi.
  • Etkilenen kullanıcılara e-posta ile bildirim gönderildi.
  • Tüm anahtar ve token’ların yenilenmesi, ayrıca HF token’larının ayrıntılı erişim token’larına dönüştürülmesi tavsiye edildi.

Güvenlik güçlendirme önlemleri

  • Dış siber güvenlik uzmanlarıyla birlikte olay araştırılıyor ve güvenlik politikaları gözden geçiriliyor.
  • Spaces altyapısının güvenliğini güçlendirmek için birkaç önemli iyileştirme devreye alındı:
    • Organizasyon token’ları tamamen kaldırılarak izlenebilirlik ve denetim yetenekleri artırıldı.
    • Spaces gizli bilgileri için bir anahtar yönetim hizmeti (KMS) uygulamaya alındı.
    • Sızdırılmış token’ları tespit edip önceden geçersiz kılabilen sistem yetenekleri güçlendirildi.
    • Genel güvenlik seviyesi iyileştirildi.
    • Ayrıntılı erişim token’ları işlevsel olarak tamamen hazır olduğunda, "classic" okuma ve yazma token’larının tamamen kullanımdan kaldırılması planlanıyor.

Hukuki adımlar

  • Olay, kolluk kuvvetlerine ve veri koruma otoritelerine bildirildi.

Kullanıcı bilgilendirmesi

  • Bu olayın yol açtığı rahatsızlık için içtenlikle özür dilendi ve bunun tüm altyapının güvenliğini güçlendirmek için bir fırsat olarak değerlendirileceği taahhüt edildi.
  • Ek sorular için security@huggingface.co adresiyle iletişime geçilmesi önerildi.

GN⁺ görüşü

  • Güvenliği güçlendirme gerekliliği: Bu olay, yazılım platformlarında güvenliğin güçlendirilmesinin önemini bir kez daha hatırlatıyor. Özellikle hassas bilgilere erişim kontrolü ve izleme kritik önem taşıyor.
  • Ayrıntılı erişim token’ları: Ayrıntılı erişim token’ları, güvenliği artırmak için iyi bir yöntem. En az ayrıcalık ilkesini uygulayarak gereksiz yetkileri kısıtlamayı sağlıyor.
  • Dış uzmanlarla iş birliği: Dış siber güvenlik uzmanlarıyla çalışmak, sorunun çözümünde büyük yardımcı olur. Bu yaklaşım, yalnızca iç ekiplerle çözülmesi zor karmaşık sorunların ele alınmasını sağlar.
  • Hukuki bildirim: Olayın kolluk kuvvetlerine ve veri koruma otoritelerine bildirilmesi, şeffaflığın korunması ve kullanıcı güveninin yeniden kazanılması açısından önemli.
  • Kullanıcı iletişimi: Kullanıcılara durumu hızlı ve açık biçimde bildirmek, güveni korumak için kritik önemdedir. Bu da kullanıcılarla olan güven ilişkisini güçlendirir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-03
Hacker News yorumu
  • Jossef Harush Kadouri, bir güvenlik konferansında sunduğu slaytlarda, Huggingface gibi yerlerde model kullanıldığında model yazarının kullanıcının bilgisayarında rastgele kod çalıştırabileceğini keşfetti.
  • Yapay zeka alanında olmayan biri olarak, model dosyalarının sadece sayı matrisleri ve metadata olduğunu sanıyordum; ama aslında Python betiklerinden oluştuğunu öğrenince standardizasyonun neden bu kadar kolay gerçekleştiğini anladım.
  • "Şüpheleri var" ifadesi, bu tür bir iletişimde kullanılmak için uygun değil.
  • Huggingface, güvenlik altyapısını iyileştirmek için çok iş yaptı; bunun güvenlik denetimleri ve sızma testleri gibi daha fazla zaman alan faaliyetleri de tetiklemesi gerekir.
  • Birkaç hafta önce bir OpenAI anahtarı sızdırıldı ve yalnızca Huggingface Spaces'te aktifti. Birkaç gün önce de Space'in tehlikeye girdiğine dair bir e-posta aldım.
  • Bir Anthropic anahtarı sızdırıldı ve 10.000 dolarlık bir maliyete yol açtı. Huggingface'in bunu karşılayıp karşılamayacağını merak ediyorum.
  • Başlık yüzünden bunun uzayla ilgili bir yazı olduğunu sandım, ama aslında Huggingface Spaces ile ilgiliymiş.
  • Uygunsuz şekilde oluşan maliyetlerin nasıl ele alınacağına dair bir ifade yok. Gizli bilgilere erişilirse API çağrıları yapılıp maliyet oluşturulamaz mı?
  • "Space"in ne olduğunu merak ediyorum.
  • Huggingface'in neden "secret" sakladığını anlayamıyorum. Açık anahtarların saklanıp kullanıcıların istekleri gizli anahtarla imzalaması daha iyi bir yöntem gibi görünüyor.
  • Basit işleri yapmanın ne kadar zor olduğu düşünülünce, bu sorun şaşırtıcı değil.