机器学习模型安全事件分析报告
一、事件概述
网络安全研究人员在Hugging Face平台发现两个恶意机器学习模型(glockr1ballr7和who-r-u00000000000000000000000000000000000000000),其通过篡改pickle文件绕过安全检测,首次实现基于AI模型供应链攻击的漏洞利用。
二、技术特征分析
-
攻击技术
- 采用
7z压缩格式的PyTorch模型文件(非默认ZIP格式) - 在pickle文件头部植入恶意Python代码
- 包含硬编码IP地址的反向外壳程序(Reverse Shell)
- 采用
-
规避手段
- 利用pickle格式的
反序列化漏洞执行任意代码 - 恶意载荷导致部分反序列化失败,但已触发代码执行
- 成功绕过Hugging Face的Picklescan工具检测
- 利用pickle格式的
三、安全漏洞维度
| 风险类型 | 具体表现 |
|---|---|
| 文件格式风险 | pickle格式允许加载时执行任意代码 |
| 检测机制缺陷 | 安全扫描工具未覆盖7z压缩格式文件 |
| 供应链攻击路径 | 通过模型分发平台植入恶意载荷 |
四、影响与应对
- 实际影响:当前为概念验证(PoC)级别攻击,尚未发现实际供应链攻击案例
- 平台响应:Hugging Face已更新Picklescan工具,修复检测漏洞
- 行业警示:2024年AIbase数据显示,ML模型分发平台成新型攻击载体
五、深度观察
-
攻击演进趋势
恶意载荷前置技术(Pickle流头部注入)突破传统安全扫描逻辑,暴露MLOps流程中的检测盲区 -
行业安全启示
- 需建立针对非标准压缩格式的深度文件检测机制
- 模型签名验证与沙箱隔离应成为ML平台标配
- 反序列化过程需引入零信任执行环境
专家观点:ReversingLabs研究员Karlo Zanki指出,此次事件证明"模型即武器"(Model-as-Weapon)的新型攻击范式已进入实践阶段。
