黑客利用损坏的 Pickle 文件在 Hugging Face 上传播恶意 AI 模型

当前，模型共享已经成为机器学习领域的常见做法，但在使用他人分享的模型时，需要保持警惕。尤其是在依赖HuggingFace等平台时，务必对下载的模型进行安全评估。这些模型可能包含恶意代码，对用户构成潜在威胁。

ReversingLabs的安全研究员Karlo Zanki指出，在PyTorch模型中发现的恶意pickle文件，可能会对使用这些模型的Python环境造成危害。这些恶意代码能够执行shell命令，甚至泄露受感染系统的IP地址以及其他敏感信息。因此，对pickle文件的安全性进行评估至关重要，尤其是在涉及大型语言模型等复杂应用时。

据报道，Hugging Face上已经出现了多个包含恶意代码的模型，例如glockr1/ballr7和who-r-u0000/0000000000000000000000000000000000000。这些模型可能伪装成无害的预训练模型，但实际上却暗藏恶意代码。利用pickle文件在模型中嵌入恶意代码是一种常见的攻击手段，攻击者可以通过这种方式在用户不知情的情况下执行恶意操作。

模型共享中，PyTorch模型对pickle文件的依赖性构成了一个安全隐患，不仅仅是PyTorch模型，还包括常用的ZIP压缩文件和7z压缩文件。为了解决这个问题，Hugging Face推出了Picklescan扫描工具，旨在帮助用户检测模型中的潜在风险。通过分析pickle文件的内容，该工具可以识别恶意代码，并防止其在用户系统中执行。

总而言之，由于pickle文件可能带来的安全风险，Hugging Face的模型共享平台需要采取额外的安全措施，以确保用户下载的模型的安全性。这需要开发者提高安全意识，并积极使用Picklescan等工具，以及时发现并修复潜在的安全漏洞。

综上所述，机器学习模型的安全问题不容忽视。在AI和模型共享日益普及的背景下，加强安全防范意识、采取有效的安全措施显得尤为重要。只有这样，才能确保AI技术的健康发展。