Hugging Face के Spaces प्लेटफ़ॉर्म में secret लीक घटना का खुलासा

 (huggingface.co)
3 पॉइंट द्वारा GN⁺ 2024-06-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Hugging Face की सुरक्षा घटना पर प्रतिक्रिया

घटना का सार

  • Hugging Face के Spaces प्लेटफ़ॉर्म पर अनधिकृत access का पता चला।
  • कुछ Spaces की secret जानकारी तक बिना अनुमति पहुंच बनाई गई हो सकती है।

प्रतिक्रिया के कदम

  • पहले कदम के तौर पर, संबंधित HF tokens को revoke किया गया।
  • प्रभावित users को email के ज़रिए सूचित किया गया।
  • सभी keys और tokens को refresh करने, और HF tokens को granular access tokens में बदलने की सिफारिश की गई।

सुरक्षा मज़बूती के कदम

  • बाहरी cyber security experts के साथ मिलकर समस्या की जांच की जा रही है और security policies की समीक्षा हो रही है।
  • Spaces infrastructure की सुरक्षा मज़बूत करने के लिए कई महत्वपूर्ण सुधार लागू किए गए हैं:
    • organization tokens को पूरी तरह हटाकर traceability और audit capabilities में सुधार किया गया।
    • Spaces secrets के लिए Key Management Service (KMS) लागू किया गया।
    • लीक हुए tokens की पहचान कर उन्हें पहले से invalid करने की system capability मज़बूत की गई।
    • समग्र सुरक्षा में सुधार किया गया।
    • granular access tokens पूरी तरह functional हो जाने पर "classic" read और write tokens को पूरी तरह retire करने की योजना है।

कानूनी कार्रवाई

  • इस घटना की सूचना law enforcement agencies और data protection authorities को दी गई।

users के लिए मार्गदर्शन

  • इस घटना से हुई असुविधा के लिए गहरी माफ़ी जताई गई और इसे पूरे infrastructure की सुरक्षा मज़बूत करने के अवसर के रूप में लेने का वादा किया गया।
  • अतिरिक्त सवाल होने पर security@huggingface.co पर संपर्क करने की सलाह दी गई।

GN⁺ की राय

  • सुरक्षा मज़बूती की ज़रूरत: यह घटना फिर से याद दिलाती है कि software platforms में सुरक्षा को मज़बूत करना कितना महत्वपूर्ण है। खासकर, sensitive जानकारी के access control और monitoring का महत्व बहुत अधिक है।
  • granular access tokens: granular access tokens सुरक्षा बढ़ाने का एक अच्छा तरीका हैं। इससे least privilege principle लागू कर अनावश्यक permissions को सीमित किया जा सकता है।
  • बाहरी experts के साथ सहयोग: बाहरी cyber security experts के साथ सहयोग समस्या के समाधान में बहुत मददगार होता है। इससे ऐसे जटिल मुद्दों को संभाला जा सकता है जिन्हें केवल internal teams के लिए हल करना मुश्किल हो।
  • कानूनी प्रतिक्रिया: law enforcement agencies और data protection authorities को रिपोर्ट करना transparency बनाए रखने और users का भरोसा वापस पाने के लिए महत्वपूर्ण है।
  • user communication: users को स्थिति के बारे में तेज़ी और स्पष्टता से बताना भरोसा बनाए रखने के लिए आवश्यक है। इससे users के साथ trust relationship और मज़बूत होती है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-03
Hacker News राय
  • Jossef Harush Kadouri ने एक security conference में प्रस्तुत की गई slides में पाया कि Huggingface जैसी जगहों पर मॉडल इस्तेमाल करने पर मॉडल लेखक उपयोगकर्ता के कंप्यूटर पर arbitrary code चला सकता है।
  • AI क्षेत्र से बाहर के व्यक्ति के रूप में, मुझे लगा था कि मॉडल फ़ाइलें सिर्फ़ numbers की matrices और metadata होती हैं, लेकिन अब समझ आया कि वे वास्तव में Python scripts से बनी होती हैं, इसलिए standardization आसानी से हो गई।
  • "उन्हें संदेह है" जैसी अभिव्यक्ति इस तरह के communication में इस्तेमाल करने के लिए उपयुक्त नहीं है।
  • Huggingface ने security infrastructure सुधारने के लिए बहुत काम किया है, और इससे security audit तथा penetration test जैसी अधिक समय लेने वाली गतिविधियाँ भी शुरू होनी चाहिए।
  • कुछ हफ़्ते पहले एक OpenAI key लीक हो गई थी, और वह सिर्फ़ Huggingface Spaces में ही active थी। कुछ दिन पहले मुझे एक email मिला कि वह Space compromise हो गया था।
  • Anthropics key लीक हो गई और 10,000 डॉलर का खर्च हो गया। सोच रहा हूँ कि क्या Huggingface इसकी भरपाई करेगा।
  • शीर्षक की वजह से लगा कि यह अंतरिक्ष के बारे में लेख है, लेकिन असल में यह Huggingface के Spaces के बारे में था।
  • ग़लती से हुए खर्च के निपटान का कोई उल्लेख नहीं है। अगर secret information तक पहुँच मिल जाए, तो क्या API calls और billing संभव नहीं हो जाएगी?
  • सोच रहा हूँ कि 'Spaces' क्या है।
  • समझ नहीं आता कि Huggingface "secrets" क्यों store करता है। शायद public key store करना और उपयोगकर्ता द्वारा secret key से requests sign करना बेहतर होता।
  • यह देखते हुए कि साधारण काम करना भी कितना कठिन है, यह समस्या चौंकाने वाली नहीं है।