เปิดเผยเหตุการณ์ข้อมูล Secret รั่วไหลบนแพลตฟอร์ม Hugging Face Spaces
(huggingface.co)- เมื่อต้นสัปดาห์นี้ มีการตรวจพบการเข้าถึงที่ไม่ได้รับอนุญาตซึ่งเกี่ยวข้องกับ secrets บนแพลตฟอร์ม Spaces และมีความเป็นไปได้ว่า secrets บางส่วนอาจถูกเข้าถึงจากภายนอก
- ในการตอบสนองเบื้องต้น HF tokens หลายรายการที่อยู่ใน secrets ถูกเพิกถอน และมีการส่งอีเมลแจ้งไปยังผู้ใช้ที่ได้รับผลกระทบ
- ขอแนะนำให้ผู้ใช้ออก key และ token ที่เกี่ยวข้องใหม่ และเปลี่ยนไปใช้ fine-grained access tokens ซึ่งกลายเป็นค่าเริ่มต้นแล้ว
- Hugging Face กำลังสืบสวนเหตุการณ์นี้ร่วมกับผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ความปลอดภัยไซเบอร์ภายนอก และกำลังทบทวนนโยบายและขั้นตอนด้านความปลอดภัยไปพร้อมกัน
- มีการนำมาตรการต่าง ๆ มาใช้กับโครงสร้างพื้นฐานของ Spaces ได้แก่ การยกเลิก org tokens, การนำ KMS มาใช้, และการเสริมความสามารถในการตรวจจับและทำให้โทเค็นที่รั่วไหลใช้งานไม่ได้ รวมถึงได้รายงานเหตุการณ์นี้ต่อหน่วยงานที่เกี่ยวข้องแล้ว
การเข้าถึง Spaces secrets โดยไม่ได้รับอนุญาตและการดำเนินการของผู้ใช้
- Hugging Face ตรวจพบการเข้าถึงที่ไม่ได้รับอนุญาตซึ่งเกี่ยวข้องกับ Spaces secrets บนแพลตฟอร์ม Spaces
- มีความเป็นไปได้ว่า Spaces secrets บางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต
- ระหว่างกระบวนการกู้คืนเบื้องต้น HF tokens หลายรายการที่อยู่ใน secrets ถูกเพิกถอน
- ผู้ใช้ที่โทเค็นถูกเพิกถอนจะได้รับอีเมลแจ้งแล้ว
- ขอแนะนำให้ผู้ใช้ออก key หรือ token ใหม่
- สำหรับ HF tokens ขอแนะนำให้เปลี่ยนไปใช้ fine-grained access tokens ซึ่งเป็นค่าเริ่มต้นใหม่
การเสริมความปลอดภัยให้โครงสร้างพื้นฐานของ Spaces และการตอบสนองต่อเนื่อง
- Hugging Face กำลังสืบสวนเหตุการณ์นี้ร่วมกับผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ความปลอดภัยไซเบอร์ภายนอก และกำลังทบทวนนโยบายและขั้นตอนด้านความปลอดภัย
- ในช่วงไม่กี่วันที่ผ่านมา มีการเสริมความปลอดภัยให้โครงสร้างพื้นฐานของ Spaces
- ยกเลิก org tokens ทั้งหมดเพื่อเพิ่มความสามารถในการติดตามและการตรวจสอบ
- นำ บริการจัดการกุญแจ (KMS) มาใช้กับ Spaces secrets
- เสริมและขยายความสามารถของระบบในการระบุโทเค็นที่รั่วไหลและทำให้ใช้งานไม่ได้ล่วงหน้า
- ปรับปรุงความปลอดภัยโดยรวม
- เมื่อ fine-grained access tokens มีความสามารถเทียบเท่ากันครบถ้วนแล้ว มีแผนจะยกเลิก “classic” read/write tokens ทั้งหมดในอนาคตอันใกล้
- การสืบสวนเกี่ยวกับเหตุการณ์ที่อาจเกี่ยวข้องยังคงดำเนินต่อไป
- Hugging Face ได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายและหน่วยงานคุ้มครองข้อมูลด้วย
- สามารถติดต่อสอบถามได้ที่ security@huggingface.co
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ไม่แน่ใจว่าสไลด์ถูกอัปโหลดไว้ที่อื่นหรือเปล่า แต่ไฟล์ที่ผมได้รับอยู่ที่นี่: https://dro.pm/c.pdf (45MB) สไลด์หมายเลข 188
ตอนนั้นผมยังไม่ทันตระหนักว่านั่นหมายความว่า ไม่ใช่แค่ผู้เขียนโมเดลเท่านั้น แต่ถ้า Hugging Face ถูกศาลสั่งหรือถูกแฮ็ก ก็สามารถทำแบบเดียวกันได้เช่นกัน โดยเฉพาะถ้าไม่รู้ตัวอยู่พักหนึ่งว่าถูกเจาะ¹
ผมไม่ได้อยู่วงการ AI เลยไม่เคยรันโมเดลแบบนี้เอง แต่ก็น่าแปลกใจที่อุตสาหกรรมนี้ทำมาตรฐานรูปแบบกันได้เร็วขนาดนี้ ผมคิดว่าไฟล์โมเดลน่าจะเป็นแค่เมทริกซ์ตัวเลขก้อนใหญ่กับเมทาดาทาเล็กน้อย แต่พอดูสไลด์ 186 และ 195 แล้ว ดูเหมือนว่าโมเดลจริง ๆ แล้วเป็น สคริปต์ Python ที่ทำอะไรก็ได้แทบทั้งหมด เลยเข้าใจได้ว่าทำไมถึงมาตรฐานกันได้ง่าย ถ้าปล่อยให้แต่ละคนทำตามใจ ปัญหาบางอย่างก็เลี่ยงได้ แต่ก็มีต้นทุนตามมา
¹ ตาม https://www.verizon.com/business/resources/articles/s/how-to... ระบุว่า 20% ใช้เวลาหลายเดือนกว่าจะรู้ว่าถูกเจาะ แน่นอนว่าก็ขึ้นอยู่กับสถานการณ์และพฤติกรรมของผู้โจมตี
แต่ปัญหาที่จะเจอทันทีคือ custom layer/operator และตรรกะการทำ inference ของมัน ต้องพยายามทำให้ได้ด้วย operator ที่รองรับเท่านั้น ซึ่งในโลกจริงอาจยากหรือเป็นไปไม่ได้ หรือไม่ก็ต้องส่ง implementation ของ operator มาให้ตอนรันไทม์ ซึ่งสุดท้ายก็วนกลับมาที่จุดเดิม
[1] https://onnx.ai/
มันเกือบจะเป็นฟอร์แมตแบบ “เมทริกซ์ตัวเลขก้อนใหญ่กับเมทาดาทาเล็กน้อย” จริง ๆ และเคยมีการค้นพบช่องโหว่บางอย่างซึ่งถูกแพตช์แล้ว
[1] https://www.databricks.com/blog/ggml-gguf-file-format-vulner...
[0]: https://huggingface.co/docs/hub/en/security-pickle
สำหรับคนที่จะมาอ่านทีหลัง ผมหาวิดีโองานบรรยายเจอแล้ว: https://m.youtube.com/watch?v=8XysLIq-e3s
อย่างน้อย Hugging Face ก็พูดประมาณว่า “น่าจะ มีโอกาสเข้าถึง secret ได้ แต่ยืนยันไม่ได้” ซึ่งดูตรงไปตรงมากว่า
งานแบบนี้ไม่ควรจะต้องมีขั้นตอนที่ใช้เวลามากกว่า เช่น security audit หรือ penetration test ก่อนนำขึ้นใช้งานจริงหรือ?
ผมค่อนข้างมั่นใจว่าแทบจะแน่นอนว่ามันรั่วผ่าน secret ของ HF Space ผมได้รับข้อความเตือนเมื่อไม่กี่วันก่อนว่า Spaces บางตัวของผมได้รับผลกระทบ
.envก็เป็นสาธารณะเช่นกันแล้วเมื่อไม่กี่วันก่อนผมก็ได้รับอีเมลว่า Spaces เหล่านั้นถูกเจาะ ดังนั้นปัญหานี้น่าจะดำเนินมาอย่างน้อยหลายสัปดาห์แล้ว
หรือเรื่องนี้เป็นปัญหาเฉพาะการขโมยข้อมูล/โค้ดเท่านั้น?
https://huggingface.co/docs/hub/en/spaces-overview
มันดูเป็นฝั่งฟรอนต์เอนด์/พอร์ทัล และน่าจะเขียนด้วย Python อาจเป็น Django หรืออะไรทำนองนั้น
เก็บแค่ public key แล้วให้ผู้ใช้ถือ secret key เองแล้วเซ็นคำขอไม่ได้หรือ?