Provedores de Inteligência Artificial, como a Hugging Face, estão vulneráveis a dois riscos críticos que podem permitir que atores de ameaças aumentem privilégios, ganhem acesso entre inquilinos a modelos de outros clientes e até assumam os pipelines de integração e entrega contínua (CI/CD).

Os pesquisadores destacaram que modelos maliciosos representam um risco significativo para sistemas de IA, especialmente para provedores de IA como serviço, pois atacantes podem usar esses modelos para realizar ataques entre inquilinos. Os ataques podem ter um impacto devastador, permitindo o acesso a milhões de modelos e aplicativos privados de IA armazenados nos provedores de serviços.

As ameaças surgem devido à tomada de infraestrutura de inferência compartilhada e à tomada de CI/CD compartilhada, possibilitando a execução de modelos não confiáveis carregados no serviço em formato pickle e assumindo o pipeline de CI/CD para realizar um ataque à cadeia de suprimentos.

A Hugging Face permite que os usuários infiram o modelo baseado em Pickle na infraestrutura da plataforma, mesmo quando considerado perigoso. Isso permite que um atacante crie um modelo PyTorch (Pickle) com capacidades de execução de código arbitrário ao carregar e o encadeie com configurações incorretas no Amazon Elastic Kubernetes Service (EKS) para obter privilégios elevados e mover-se lateralmente dentro do cluster.