黑客在 HuggingFace 上传歹意 AI 模型，用“损坏”pickle 文件躲避监测

2 月 10 日音讯，据 The Hacker News 于 8 日报导，网络安全研究人员发现，在 HuggingFace 渠道上，有两个歹意机器学习（ML）模型利用了一种非常规的。“损坏”pickle 文件技能。来躲避安全检测。

ReversingLabs 研究员 Karlo Zanki 标明：“从这些 PyTorch 存档中提取的 pickle 文件，在文件最初提醒了歹意的 Python 内容。两者的歹意载荷都是。典型的渠道特定反向 shell。，连接到硬编码的 IP 地址。”。

这种办法被称为 nullifAI，意在经过清晰。绕过现有的安全防护办法。，防止被辨以为歹意模型。Hugging Face 上发现的两个相关模型存储库如下：

• glockr1/ballr7。
  

• who-r-u0000/0000000000000000000000000000000000000。

这些模型被以为更像是一个概念验证（PoC），而非实在的供应链进犯事例。

pickle 序列化格局在机器学习模型分发中很常见，但它一向被以为存在安全隐患，因为它答应在加载和反序列化时履行恣意代码。

被检测出的这两个模型运用的是 PyTorch 格局，实质上是紧缩的 pickle 文件。虽然 PyTorch 默许运用 ZIP 格局紧缩，但这些模型运用的是 7z 格局，这种不同的紧缩方法让它们。可以避开 Hugging Face 的 Picklescan 东西的歹意检测。。

Zanki 进一步指出：“这个 pickle 文件的一个风趣之处是，目标序列化（注：即 pickle 文件的中心功用）在歹意载荷履行后就开裂，导致无法正确反编译目标。”。

后续剖析标明，虽然存在反序列化过错，损坏的 pickle 文件依然可以被部分反序列化，然后履行歹意代码。该问题已被修正，Picklescan 东西也更新了版别。

Zanki 解说说：“pickle 文件的反序列化是按次序进行的，pickle 操作码会在遇届时履行，直到一切操作码履行结束或遇到损坏的指令。因为歹意载荷刺进在 pickle 流的最初，Hugging Face 的安全扫描东西未能检测到模型的履行是有危险的。”。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等方式），用于传递更多信息，节约甄选时刻，成果仅供参考，一切文章均包括本声明。

内容来源：https://havascm.com/app-1/trực tiếp giải vô địch quốc gia việt nam,https://chatbotjud-hml.saude.mg.gov.br/app-1/pt-loterias

本文地址：http://w.21nx.com/news/73397243-64f35899577.html