Les jetons API Hugging Face exposés offraient un accès complet au Llama 2 de Meta.

Les jetons API des géants de la technologie Meta, Microsoft, Google, VMware et plus ont été trouvés exposés sur Hugging Face, les ouvrant à des attaques potentielles de chaîne d’approvisionnement. Les chercheurs de Lasso Security ont trouvé plus de 1 500 jetons API exposés sur la plate-forme open source de science des données et d’apprentissage machine, ce qui leur a permis d’accéder aux comptes de 723 organisations. Dans la très grande majorité des cas (655), les jetons exposés avaient des permissions d’écriture accordant la possibilité de modifier des fichiers dans les dépôts de comptes. Au total, 77 organisations ont été exposées de cette manière, notamment Meta, EleutherAI et BigScience Workshop – qui gèrent respectivement les projets Llama, Pythia et Bloom. Les trois entreprises ont été contactées par The Register pour un commentaire, mais Meta et BigScience Workshop n’ont pas répondu au moment de la publication, bien qu’elles aient toutes les trois fermées les failles peu de temps après avoir été notifiées. Hugging Face est similaire à GitHub pour les passionnés d’IA et héberge une multitude de projets majeurs. Plus de 250 000 jeux de données y sont stockés et plus de 500 000 modèles d’IA également.

Share the Post: