세계 최대 규모의 오픈소스 모델 저장소(400만 명 이상의 개발자)인 Hugging Face가 AI 공급망 공격의 최전선이 되고 있습니다. 이 사건은 협업 플랫폼과 보안 사이에 내재된 모순을 드러냈습니다.
기술적 세부 사항을 공격합니다:
피클 파일 악용: 파이썬 표준 라이브러리인 피클 모듈은 ML 모델 직렬화에 사용되지만 역직렬화는 본질적으로 임의의 파이썬 코드를 실행합니다. 파이토치는 기본적으로 피클에 의존하므로 악성 코드를 숨기는 데 완벽한 수단입니다.
피클스캔 우회: 허깅 페이스는 피클스캔 도구를 사용하여 블랙리스트 메커니즘을 기반으로 위험한 기능(예: os.system, 하위 프로세스 등)을 탐지합니다. 공격자는 두 개의 레이어를 통해 우회합니다:
압축 포맷 변경: PyTorch 표준 ZIP 압축이 7z 포맷으로 변경되어 Picklescan에서 압축을 풀 수 없습니다.
파일 파괴 익스플로잇: 피클 스트림 끝에 손상된 바이트를 삽입하면 피클스캔이 유효성 검사에 실패한 후 직접 해제하지만, 파이썬 인터프리터는 이를 순차적으로 실행하고 파일이 파괴되기 전에 악성 코드가 트리거됩니다.
숨겨진 로드: 악성 코드가 직렬화된 스트림의 시작 부분에 위치하며, 실행 직후 파일이 중단되어 탐지 도구를 혼동하게 합니다.
실제 세계의 샘플입니다:
模型库”glockr1/ballr7″、”who-r-u0000/0000000000000000000000000000000000000″含反向Shell
이식된 IP 주소: 107.173.7.141(C2 서버)
영향 범위: 프로덕션 코드에 통합하기 위해 이러한 모델을 다운로드한 개발자의 수는 알 수 없습니다.
방어 레이어:
플랫폼 수준: Hugging Face는 7z 압축 해제 및 손상된 파일 감지를 지원하도록 Picklescan을 업그레이드했으며, Pickle의 대안으로 SafeTensors를 홍보했습니다.
개발자 수준: 알 수 없는 모델 비활성화, 모델 서명 확인 활성화, 모델 로딩 프로세스 격리, 종속성 체인에서 피클 파일 스캔
탐지 수준: 런타임 샌드박스를 구현하여 모델이 로드될 때 네트워크 연결 및 프로세스 생성 동작을 모니터링합니다.
결론: AI 민주화의 대가는 보안 부채의 누적입니다. 모든 피클 파일은 잠재적인 ”트로이 목마'이며, 블랙리스트 방어 체계가 무너지고 있습니다.