Wiz découvre des failles de sécurité sur la plateforme AI-as-a-Service Hugging Face

Dans une révélation majeure, le géant de la cybersécurité décacorne Wiz a mis au jour des failles de sécurité importantes sur la plateforme en tant que service d'IA Hugging Face. Hugging Face, connue pour le développement et l'entretien de modèles et d'outils de traitement du langage naturel (NLP), compte parmi ses clients des géants de la technologie tels que Meta, Microsoft et Google. Les vulnérabilités de sécurité découvertes par Wiz auraient pu permettre aux attaquants d'accéder à des millions de modèles et d'applications AI privés stockés dans les systèmes Hugging Face.

L'équipe de recherche de Wiz a identifié deux risques critiques : un risque de prise de contrôle de l'infrastructure d'inférence partagée et un risque de prise de contrôle de la chaîne d'outils CI/CD partagée. Le risque de prise de contrôle de l'infrastructure d'inférence partagée découle du fait que l'inférence AI s'exécute souvent des modèles non approuvés, potentiellement malveillants. En revanche, le risque de prise de contrôle de la chaîne d'outils CI/CD partagée représente une menace importante car les attaquants peuvent tenter de s'emparer de la chaîne d'outils CI/CD et d'exécuter une attaque de la chaîne d'approvisionnement.

Shir Tamari, responsable de la recherche chez Wiz, a souligné les implications plus larges de ces problèmes de sécurité, déclarant qu'ils pourraient affecter tout fournisseur de service IA-en-tant-que-service. Tamari a plaidé en faveur d'une réglementation mûre et de pratiques de sécurité dans l'industrie de l'IA, notant que "l'isolement est la clé" pour empêcher les acteurs malveillants de télécharger des modèles malveillants et d'accéder à des informations sensibles.

En réponse aux découvertes de Wiz, Hugging Face a pris des mesures pour remédier aux risques identifiés. L'entreprise a mis en œuvre Wiz CSPM et le balayage des vulnérabilités pour identifier et atténuer proactivement certains des risques. De plus, Hugging Face effectue son test de pénétration annuel pour s'assurer que les éléments identifiés ont été suffisamment atténués.

La découverte par l'équipe de recherche Wiz de ces failles de sécurité souligne l'importance de mesures de sécurité robustes dans l'industrie de l'IA en évolution rapide et croissante. À mesure que la technologie AI continue d'évoluer et de s'intégrer de plus en plus dans divers aspects de la société, la nécessité d'une réglementation mûre et de pratiques de sécurité strictes devient plus critique que jamais.

Source: <https://www.calcalistech.com/ctechnews/article/hj2bfu2jr>

Comments

Popular posts from this blog

Apprendre les langues étrangères : Outils modernes et potentiel du ChatGPT

ChatGPT-4 reproduit l'animation GapMinder en une seule tentative

GPT-4 vs GPT-3.5 - Dévoiler l'avenir des modèles de langage de l'IA