在人工智能（AI）和机器学习（ML）技术日益普及的今天，Hugging Face 作为一个受到广泛青睐的社区平台，吸引了众多开发者分享和构建模型。然而，最近的研究揭示出一个令人担忧的现象——Hugging Face 平台上有约100个模型潜在地藏匿着恶意代码。这些恶意模型可能会极大地威胁使用者的计算机安全，进而造成严重的数据信息泄露和信息系统的入侵。

这项研究由 JFrog 安全团队进行，他们开发了一套监测工具，定期扫描上传到 Hugging Face 的模型，寻求发现潜在的安全威胁。结果显示，某些模型可以在加载时执行恶意代码，给攻击者提供了执行任意代码的能力。尤其需要注意的是，这些恶意模型大多数利用了 Python 的 Pickle 数据序列化技术。

Pickle 是 Python 中一种流行的数据序列化格式，广泛用于保存和重用机器学习模型。然而，Pickle 的一种常见安全隐患在于，它允许在 deserialization（反序列化）期间执行任意的 Python 代码。当用户不慎加载来自不信任源的模型时，攻击者便可以通过此到达目的。JFrog 在最近的调查中发现，一个名为 baller423 的用户上传的 PyTorch 模型开启了一个反向 shell 连接至攻击者指定的 IP 地址。反向 shell 是一种攻击手法，允许攻击者通过操控被感染的机器，获得完全控制权。

在实际操作中，当开发者使用 Hugging Face 平台提供的工具加载可能存在恶意代码的模型时，可能毫不知情地将其放入自己的环境中，这显然是不安全的。例如，某个加载模型的过程可能利用了 torch.load() 函数，此函数本质上会通过 Pickle 反序列化模型，自然而然地执行恶意代码。

这起事件揭示了 Hugging Face 平台的安全漏洞，呼吁更多关注模型的安全性。 尽管 Hugging Face 实施了包括恶意软件扫描、Pickle 扫描和敏感信息扫描等多项安全保护机制，但对于标记为“安全”的模型，用户仍可选择下载并执行，这意味着他们必须意识到风险。JFrog 继续强调，对于任何未经过滤或来自不信任源的数据均应保持高度警惕。

攻击者的技术手段

在这项研究中，研究人员揭示了攻击者如何利用这些恶意 ML 模型进行攻击的具体步骤，例如利用 Pickle 模块的 __reduce__ 方法插入恶意代码，从而达到执行任意操作的效果。通常，恶意代码会在数据反序列化时自动执行，这使得开发者在使用时可能完全不知情。

描述事件

哈萨克斯坦研究环境开放网络（KOREONET, Korea Research Environment Open NETwork）被认为是该 IPv4 地址的运营者。值得注意的是，社区中普遍认为，此类代码的底细应该受到深入调查，以明确其是否涉及真正的攻击意图，还是仅为展示漏洞的研究代码。对于许多研究者而言，进行系统的安全研究通常伴随着对真实漏洞的谨慎对待。

如何降低风险

JFrog 研究团队呼吁，开发者在使用 Hugging Face 及其他公开平台时，应竭尽所能提高警惕，识别和绕过潜在风险：

• 使用安全工具：开发者可采用 JFrog 提供的安全扫描工具，这些工具专门用于检测上传模型的恶意活动。
• 增强教育意识：坚持对代码来源进行审查，避免直接使用未知或未被信任的模型。

这种对于机器学习模型的关注不仅限于 Hugging Face ；随着平台的增长，其他供应链也可能面临相似风险，所有用户都应对于潜在的恶意软件上传与传播保持警惕。

随着ML模型成为网络攻击者的攻击目标，网络安全意识变得越来越重要。 显然，使用公开可得的模型和数据集需要相应的安全措施和审查，以保护个人和组织免受不必要的风险。各行各业都应积极参与到保障网络安全的行列之中，确保技术的健康发展。

在这样的技术背景下，不仅是机器学习的开发者，任何人都应该对可能出现的安全风险保持警惕。请认真对待开发过程中的每一个细节，确保您在构建和使用这些强大工具时能够安全地驾驭技术带来的机会和挑战。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课