Hugging Face 或存在 API 漏洞，可让黑客获取模型库权限

DoNews12月6日消息，据 mspoweruser 报道，AI 模型平台 Hugging Face  近日被发现存在 API 令牌漏洞，该漏洞可能导致微软、谷歌、Meta 等公司的模型被黑客非法访问，甚至可能出现污染训练数据或窃取、修改 AI 模型的情况。

这个漏洞被安全公司 Lasso Security 发现并报告，其研究人员发现了超过 1500 个被暴露的令牌，允许他们访问 723 个组织的账户。

在 655 个案例中，令牌具有写入权限，使他们能够修改资源库中的文件。这使得数百万用户的数据、模型和工作面临风险。

据悉，微软、Meta、谷歌、VMware 等公司已经撤销了此前的 API 令牌及暴露的 token。