总结
- Hugging Face 属于风险与问责文件,因为确凿的公开记录显示 Spaces 平台遭遇未授权访问,具体涉及 Spaces 秘密;并怀疑部分 Spaces 秘密可能已被未授权访问;已撤销这些秘密中存在的一些 HF 令牌;通过电子邮件通知令牌被撤销的用户;建议刷新密钥或令牌并改用细粒度访问令牌;外部取证支持;向执法机构和数据保护机构报告;以及包括 KMS 用于 Spaces 秘密的基础设施改进。
- 主要公开证据是 Hugging Face 2024 年 5 月 31 日的披露公告。https://huggingface.co/blog/space-secrets-disclosure。Hugging Face 产品文档提供了平台背景。
为何此案例属于风险与问责文件
Hugging Face 属于风险与问责文件,因为 AI 开发者平台不再是被动代码仓库。它们是开发者发布模型、数据集、演示、笔记本、应用程序、端点和组织工作流的地方。Hugging Face Spaces 允许用户构建和托管机器学习应用程序。一个 Space 可能调用模型 API、检索数据集、连接到外部服务、运行推理代码、与用户交互以及存储部署所需的秘密。这使得 Spaces 成为一个便利层,但也使其成为凭证的托管层。
公司在https://huggingface.co/blog/space-secrets-disclosure的披露中表示,检测到 Spaces 平台的未授权访问,具体涉及 Spaces 秘密。该公司怀疑部分 Spaces 秘密可能已被未授权访问。作为第一步补救措施,Hugging Face 撤销了这些秘密中存在的一些 HF 令牌,通过电子邮件通知令牌被撤销的用户,建议用户刷新任何密钥或令牌,并建议考虑使用细粒度访问令牌,并将其描述为新默认选项。Hugging Face 还表示正在与外部网络安全取证专家合作,审查安全策略和程序,改进 Spaces 基础设施,移除组织令牌,为 Spaces 秘密实施密钥管理服务,扩展泄露令牌识别和主动作废,更广泛地改进安全性,并向执法机构和数据保护机构报告事件。
该披露之所以重要,是因为 AI 演示中的秘密可能比演示本身更强大。一个 Space 可能存储 Hugging Face 令牌、云提供商令牌、模型 API、支付服务、数据库、存储桶、向量数据库、可观察性工具、电子邮件提供商、搜索服务或内部端点的令牌。公开记录并未说明所有这些类别都涉及。关键点在于平台类别会制造风险。如果秘密可能已被访问,受影响的用户必须超越平台账户思考,询问每个秘密可能解锁什么。
该事件也很重要,因为 AI 开发通常是快速、公开、协作和实验性的。团队创建演示以向客户、投资者、管理者、社区展示。它们可能从原型开始,变得与生产环境相邻,而不应用通常用于生产系统的治理。存储长期令牌的演示可能成为攻击路径。因此问责文件应处于开发者体验与安全运维的交叉点。
Hugging Face 的回应也显示了平台级别的修复路径。撤销令牌是即时遏制。细粒度令牌是特权减少。移除组织令牌增加了可追溯性。KMS 用于 Spaces 秘密改进了秘密托管。泄露令牌检测和主动作废减少了停留时间。外部取证专家和向当局报告创建了外部问责渠道。公开记录支持这些回应主题,但未公开完整技术报告,这是适当的证据边界。
(翻译内容待续……)

