主要观点：Hugging Face 在 AI 合作领域占据重要地位，但可能成为模型攻击的目标，需关注其安全。AI 模型若处理不当会有安全风险，如代码执行可能导致数据泄露等。

关键信息：

• JFrog 发现有恶意 Hugging Face ML 模型，其通过加载 pickle 文件可执行代码，获得受害者机器控制权，如“baller423”的模型。
• Hugging Face 已采取一些安全措施如恶意软件扫描等，但仍有潜在威胁，如未直接阻止下载“不安全”的 pickle 模型。
• JFrog 开发扫描环境每日多次检查新上传模型，发现 PyTorch 和 Tensorflow Keras 模型潜在风险高，且有分布图表显示恶意模型情况。
• 研究人员利用各种技巧绕过 Hugging Face 安全措施，如利用 runpy 模块等，同时强调了供应链攻击的风险及 Huntr 等平台的作用。
• JFrog 平台可保障 AI 模型供应链安全，其恶意模型数据库实时防护，可通过研究网站和 X 账号获取最新安全研究。

重要细节：

• 恶意模型的 payload 可根据不同平台执行不同操作，如在非 Windows 平台建立反向 shell 连接到恶意主机。
• 多个类似恶意模型出现，如“star23/baller13”，模型卡有提示不应下载。
• 设立 HoneyPot 监测攻击者活动，但连接一天后被终止。
• 像“paclove/pytorchTest”的模型展示无害代码执行演示，“MustEr/m3e_biased”模型利用 runpy 模块绕过扫描。
• CVE-2023-6730 漏洞凸显转导攻击风险。