Publication de l’incident de fuite de secrets sur la plateforme Hugging Face Spaces
(huggingface.co)- En début de semaine, un accès non autorisé lié aux secrets a été détecté sur la plateforme Spaces, et certains secrets pourraient avoir été accessibles depuis l’extérieur
- En réponse initiale, plusieurs tokens HF inclus dans les secrets ont été révoqués, et un e-mail d’information a été envoyé aux utilisateurs concernés
- Il est recommandé aux utilisateurs de régénérer les clés et tokens concernés, et de passer aux fine-grained access tokens, désormais définis par défaut
- Hugging Face mène l’enquête avec des experts externes en cybersécurité forensique et réexamine en parallèle ses politiques et procédures de sécurité
- Sur l’infrastructure Spaces, la suppression des org tokens, l’introduction d’un KMS, ainsi que le renforcement de la détection et de l’invalidation des tokens compromis ont été mis en place, et l’incident a également été signalé aux autorités compétentes
Accès non autorisé aux secrets Spaces et actions requises pour les utilisateurs
- Hugging Face a détecté un accès non autorisé lié aux Spaces secrets sur la plateforme Spaces
- Certains Spaces secrets pourraient avoir fait l’objet d’un accès non autorisé
- Lors du processus initial de remédiation, plusieurs HF tokens inclus dans les secrets ont été révoqués
- Les utilisateurs dont les tokens ont été révoqués ont déjà été informés par e-mail
- Il est recommandé aux utilisateurs de régénérer leurs clés ou tokens
- Pour les HF tokens, il est recommandé de passer aux fine-grained access tokens, désormais définis par défaut
Renforcement de la sécurité de l’infrastructure Spaces et suites de l’incident
- Hugging Face enquête sur l’incident avec des experts externes en cybersécurité forensique et examine ses politiques et procédures de sécurité
- La sécurité de l’infrastructure Spaces a été renforcée ces derniers jours
- Les org tokens ont été entièrement supprimés afin d’améliorer la traçabilité et les capacités d’audit
- Un service de gestion des clés (KMS) a été introduit pour les Spaces secrets
- Les capacités du système à identifier et invalider de manière préventive les tokens compromis ont été renforcées et étendues
- La sécurité globale a été améliorée
- Lorsque les fine-grained access tokens auront atteint la parité fonctionnelle, le retrait complet des tokens read/write « classic » est prévu dans un avenir proche
- L’enquête sur les incidents potentiellement liés se poursuit
- Hugging Face a également signalé cet incident aux forces de l’ordre et aux autorités de protection des données
- Les demandes peuvent être adressées à security@huggingface.co
1 commentaires
Avis sur Hacker News
Je ne sais pas si les slides ont été publiées ailleurs, mais le fichier que j’ai reçu est ici : https://dro.pm/c.pdf (45 Mo), slide 188.
Sur le moment, je n’avais pas réalisé que cela signifiait que la même chose était possible non seulement pour l’auteur du modèle, mais aussi si Hugging Face recevait une injonction judiciaire ou se faisait pirater. Surtout si la compromission n’est pas détectée pendant un certain temps¹.
Je suis en dehors du secteur de l’IA et je n’ai jamais exécuté moi-même ce type de modèle, mais j’ai été surpris de voir à quelle vitesse le secteur avait standardisé les formats. Je pensais qu’un fichier de modèle était une grosse matrice de nombres avec un peu de métadonnées, mais d’après les slides 186 et 195, il semble que les modèles soient en fait des scripts Python pouvant faire à peu près ce qu’ils veulent, ce qui a probablement facilité la standardisation. Laisser chacun faire ce qu’il veut contourne le problème, mais cela a un coût.
¹ Selon https://www.verizon.com/business/resources/articles/s/how-to..., 20 % des compromissions ne sont pas détectées pendant des mois. Bien sûr, cela dépend de la situation et du comportement de l’attaquant.
Le problème auquel on se heurte rapidement, toutefois, ce sont les couches/opérateurs personnalisés et leur logique d’inférence. Il faut les implémenter uniquement avec les opérations prises en charge, ce qui peut être difficile, voire impossible en pratique ; sinon il faut fournir l’implémentation de l’opérateur au runtime, et on revient finalement au point de départ.
[1] https://onnx.ai/
C’est un format assez proche d’une « grosse matrice de nombres avec un peu de métadonnées », et quelques vulnérabilités ont été découvertes puis corrigées.
[1] https://www.databricks.com/blog/ggml-gguf-file-format-vulner...
[0] : https://huggingface.co/docs/hub/en/security-pickle
Pour les personnes qui liront plus tard, j’ai trouvé la vidéo de la présentation : https://m.youtube.com/watch?v=8XysLIq-e3s
Hugging Face dit au moins, en substance, « il est probable que des secrets aient été consultés, mais nous ne pouvons pas le confirmer », ce qui me paraît plus honnête.
Ce type de changement ne devrait-il pas entraîner des procédures plus longues avant la mise en production, comme un audit de sécurité ou des tests d’intrusion ?
Je suis presque certain qu’elle a fuité via les secrets d’un HF Space. Il y a quelques jours, j’ai reçu un message d’avertissement indiquant que certains de mes Spaces avaient été affectés.
.envl’est aussi.J’ai reçu il y a quelques jours un e-mail indiquant que les Spaces concernés avaient été compromis ; ce problème semble donc remonter à au moins plusieurs semaines.
Ou bien s’agit-il uniquement d’un problème de vol de données/code ?
https://huggingface.co/docs/hub/en/spaces-overview
Cela ressemble à la partie frontend/portail, probablement écrite en Python. Peut-être quelque chose comme Django.
Ne pourraient-ils pas stocker uniquement des clés publiques, laisser l’utilisateur détenir la clé privée, puis signer les requêtes ?