São Paulo — InkDesign News — Uma nova vulnerabilidade de segurança, chamada “Reuse de Namespace de Modelo”, foi descoberta, permitindo que atacantes sequestrassem modelos de inteligência artificial em plataformas como Google e Microsoft. O exploit foi revelado pela equipe Unit 42 da Palo Alto Networks.
Incidente e vulnerabilidade
A vulnerabilidade “Model Namespace Reuse” explora um sistema de nomenclatura simples utilizado para identificar modelos de IA, permitindo que um modelo excluído ou transferido se torne disponível para qualquer um. Quando um desenvolvedor apaga sua conta ou muda a propriedade de um modelo na plataforma Hugging Face, o nome desse modelo fica livre para ser reivindicado.
Após a reclamação do nome, um ator malicioso pode subir uma versão alterada e prejudicial do modelo original. Por exemplo, se um modelo nomeado DentalAI/toothfAIry for excluído, um atacante pode recriar o nome e inserir uma versão maliciosa. Como muitos programas estão configurados para puxar os modelos apenas pelo nome, eles podem baixar inadvertidamente a versão maliciosa, dando ao atacante uma porta dos fundos no sistema.
Impacto e resposta
O estudo demonstrou que a Unit 42 conseguiu assumir o controle de um nome de modelo na Hugging Face, que ainda estava sendo utilizado pelo Google Vertex AI e Microsoft Azure AI Foundry. Ao fazer isso, a equipe obteve acesso remoto aos sistemas. Depois de relatar suas descobertas, Google e Microsoft tomaram medidas para mitigar o problema.
Mitigações recomendadas
Desenvolvedores devem “fixar” um modelo a uma versão específica e verificada, evitando que seu código puxe atualizações automaticas. Outra abordagem é baixar e armazenar modelos em locais internos e confiáveis, depois de verificar quaisquer problemas. Isso ajuda a minimizar riscos de mudanças em versões imunes.
“Os nomes não são prova de origem”, disse Garrett Calpouzos.
(“names aren’t provenance.”)— Garrett Calpouzos, Principal Security Researcher, Sonatype
Ele recomenda que organizações “fixem a uma revisão imutável”, o que significa bloquear um modelo a uma versão específica, imutável durante o processo de construção. Isso pode “bloquear o ataque ou detectá-lo imediatamente”, conforme a situação exigir.
O incidente sublinha a importância de um rigor elevado na verificação de modelos de IA e a necessidade de vigilância constante por parte dos provedores de plataforma e dos desenvolvedores. Mesmo após as medidas corretivas, riscos residuais podem persistir, exigindo uma abordagem proativa para futuras defesas.
Fonte: (Hack Read – Segurança Cibernética)
