暴露的 Hugging Face API 密钥可能危害大型组织 媒体

大型组织因泄露的API令牌面临风险

关键要点

近期，SecurityWeek报道，超过700家企业，包括微软、谷歌和VMware，因泄露的1681个有效Hugging Face API令牌而可能面临账户被攻击的风险。这些令牌允许用户集成大型语言模型以及管理Hugging Face存储库，现已在Hugging Face和GitHub上曝光。

根据报告，许多大型企业的存储库被Lasso Security的研究人员用77个包含写权限的655个令牌完全接管。此外，针对那些模型下载量高的组织，报告指出其他令牌可能允许完全访问。Lasso Security表示：“控制一个有着数百万次下载的组织，我们现在有能力操控现有模型，潜在地将它们变成恶意实体。这意味着一个巨大的威胁，因为被注入的已损坏模型可能会影响依赖这些基础模型的数百万用户。”

事件描述泄露令牌数量1681个涉及公司超过700家，包括微软、谷歌和VMware使用的令牌655个被曝光的令牌，77个具有写权限报告风险训练数据污染与私有模型泄漏

补充说明Lasso Security强调，随着科技的进步，组织需要更加重视API令牌的安全性，确保不会因为疏忽而导致潜在的重大损失。

这种情况提醒大型企业在使用AI工具时，需加强安全策略，定期审查和更换API令牌，以防止类似事件再次发生。