HackerNews 编译,转载请注明出处:
Sonatype 研究人员发现了 Picklescan 中的多个严重漏洞。这些漏洞可能影响 AI 模型的安全性,并威胁 Hugging Face 等平台的安全防护机制。本文将探讨这些漏洞的影响以及开发者应采取的最佳实践。
Picklescan 漏洞详情
Sonatype 的网络安全研究团队在 Picklescan 中发现了 四个关键漏洞。Picklescan 是一个用于检查 Python Pickle 文件是否包含恶意代码的工具,而 Pickle 文件常用于存储和加载机器学习模型。然而,由于 Pickle 机制允许执行任意代码,恶意代码可在加载数据时运行,带来安全风险。
根据 Sonatype 分享给 Hackread.com 的分析,这四个漏洞包括:
- CVE-2025-1716 —— 允许攻击者绕过 Picklescan 的安全检查并执行恶意代码;CVE-2025-1889 —— 由于依赖文件扩展名进行检测,Picklescan 无法发现隐藏的恶意文件;CVE-2025-1944 —— 攻击者可通过操纵 ZIP 归档文件名,使 Picklescan 发生故障;CVE-2025-1945 —— 如果 ZIP 归档中的某些位被篡改,Picklescan 可能无法检测恶意文件。
值得注意的是,Hugging Face 等平台 依赖 Picklescan 作为安全机制之一,以检测恶意 AI 模型。研究人员警告,这些漏洞可能被黑客利用,以绕过安全检查,进而威胁依赖开源 AI 模型的开发者。这可能导致 任意代码执行,甚至让攻击者完全控制受影响的系统。
“考虑到 Picklescan 在 AI/ML 生态中的关键作用(例如在 PyTorch 生态中),Sonatype 发现的漏洞可能被威胁行为者利用,以绕过部分恶意软件扫描,从而攻击依赖开源 AI 的开发者。” —— Sonatype 研究团队
漏洞修复与安全建议
好消息是,Picklescan 维护团队对安全性表现出了高度负责的态度,迅速修复了这些漏洞,并在版本 0.0.23 中进行了补丁,大大减少了漏洞被恶意利用的可能性。
Sonatype 首席产品官 Mitchell Johnson 建议开发者:
- 避免使用来自不受信任来源的 Pickle 文件,尽可能采用 更安全的文件格式;若必须使用 Pickle 文件,应在受控环境下加载,以减少攻击面;使用加密签名与校验和 验证 AI 模型的完整性,防止篡改;采用多层安全扫描机制,避免单一检测工具失效;持续监控 Pickle 文件的加载行为,发现可疑活动时及时响应。
此次发现突显了 AI/ML 安全体系日益增长的重要性。为了降低风险,企业应尽快采纳 更安全的文件格式、多重安全扫描机制,并对 AI 模型进行完整性验证,以防止攻击者滥用 Pickle 机制进行恶意攻击。
消息来源:HackerRead;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
