Les tokens d’API Hugging Face exposés offraient un accès complet à Llama 2 de Meta.

Les jetons d’API des géants de la technologie Meta, Microsoft, Google, VMware et plus ont été trouvés exposés sur Hugging Face, les mettant ainsi en danger d’attaques de chaîne d’approvisionnement. Les chercheurs de Lasso Security ont trouvé plus de 1 500 jetons d’API exposés sur la plateforme open source de science des données et d’apprentissage machine, ce qui leur a permis d’accéder aux comptes de 723 organisations. Dans la très grande majorité des cas (655), les jetons exposés avaient des autorisations d’écriture permettant la modification de fichiers dans les dépôts de comptes. Au total, 77 organisations ont été exposées de cette manière, notamment Meta, EleutherAI et BigScience Workshop, qui gèrent les projets Llama, Pythia et Bloom, respectivement. Les trois entreprises ont été contactées par The Register pour un commentaire, mais Meta et BigScience Workshop n’ont pas répondu à l’heure de la publication, bien qu’elles aient toutes les deux fermé les failles peu de temps après en avoir été informées. Hugging Face est comparable à GitHub pour les passionnés d’IA et héberge une multitude de grands projets. Plus de 250 000 jeux de données y sont stockés et plus de 500 000 modèles d’IA également.

Share the Post: