Hugging Face verbreitet bösartige AI-Modelle mit Backdoor, warnt Security-Forscher
Sie ist neben GitHub die erste Anlaufstelle für all jene geworden, die auch der Suche nach Open-Source-Modellen für AI-Anwendungen sind: Hugging Face, ein mittlerweile milliardenschweres Startup aus den USA, bietet Entwickler:innen eine Plattform samt Chat, wo sie sich an Large Language Models (LLMs) und anderen Machine-Learning-Modellen versuchen können. Bei Hugging Face kann man sich etwa die offenen AI-Modelle von Google (Gemma), Mistral AI (Mixtral 8x7B) oder OpenAI (Whisper V3) besorgen.
Doch Vorsicht all jenen, die unbekannteren Code von der AI-Plattform auf ihre eigenen Systeme laden. Denn einer Analyse des Security-Unternehmens JFrog zufolge werden via Hugging Face AI-Forscher:innen von Cyber-Kriminellen ins Visier genommen. Das Ziel: Sie dazu zu bringen, sich Software zu installieren, die mit Backdoors also digitalen Hintertüren versehen ist. Im schlimmsten Fall kann das dazu führen, dass AI-Unternehmen und andere Organisationen, die sich bei Hugging Face AI-Modelle besorgen, Unbekannte in ihre Systeme lassen, die dort dann Schad-Code ausführen könnten.
„Wie bei anderen Open-Source-Repositories haben wir die von Nutzern hochgeladenen KI-Modelle regelmäßig überwacht und gescannt. Dabei haben wir ein Modell entdeckt, dessen Laden nach dem Laden einer Pickle-Datei zur Codeausführung führt. Die Nutzlast des Modells verschafft dem Angreifer eine Shell auf dem kompromittierten Rechner, die es ihm ermöglicht, durch eine so genannte „Backdoor“ die vollständige Kontrolle über die Rechner der Opfer zu erlangen“, heißt es seitens bei JFrog.
Sogar Unternehmensspionage möglich
Und weiter: „Diese stille Infiltration könnte Zugang zu kritischen internen Systemen gewähren und den Weg für groß angelegte Datenschutzverletzungen oder sogar Unternehmensspionage ebnen, wobei nicht nur einzelne Benutzer, sondern möglicherweise ganze Organisationen auf der ganzen Welt betroffen sind, während die Opfer nichts von ihrem kompromittierten Zustand bemerken.“ Hier wird gezeigt, wie das in der Praxis am Beispiel von „GPT-2 Elite“ aussieht:
Laut JFrog sollen es etwa 100 AI-Modelle sein, die mit Schad-Code versehen sind – und dabei wird explizit darauf hingewiesen, dass es sich bei dieser Zahl um dezidiert „bösartige Modelle“ handelt und nicht solche inkludiere, die möglicherweise einfach Bugs haben. Das Unternehmen weist, natürlich im Eigensinn, auch darauf hin, dass man selbst eine Scanning-Software entwickelt hätte, die diese schädlichen AI-Modelle erkennen könne. Zwar gebe es bei Hugging Face selbst auch Sicherheitsmaßnahmen, um Schadcode auf der Plattform zu vermeiden, allerdings hätten diese Mechanismen bei den gefundenen 100 bösartigen AI-Modellen nicht angeschlagen.
Hugging Face wurde 2023 von den Investoren Google, Amazon, Nvidia, Intel, AMD, Qualcomm, IBM, Salesforce und Sound Ventures in der Series D mit satten 235 Mio. Dollar ausgestattet und insgesamt mit 4,5 Milliarden Dollar bewertet. Mit Hugging Chat gibt es einen Konkurrenten zu ChatGPT, in dem die offenen AI-Modelle von Google (Gemma), Mistral AI (Mixtral 8x7B) oder Meta (Llama 2) integriert sind.
Hugging Face: AI-Plattform wird mit 4,5 Milliarden Dollar bewertet
