新型攻击技术“Sleepy Pickle”瞄准机器学习模型

文章预览

随着一种被称为“Sleepy Pickle”的新型“混合机器学习 (ML) 模型攻击技术”的发现， Pickle 格式所带来的安全风险再次凸显出来。 根据 Trail of Bits 的说法，这种攻击方法利用用于打包和分发机器学习 (ML) 模型的普遍格式来破坏模型本身，对组织的下游客户构成严重的供应链风险。 安全研究员 Boyan Milanov表示：“Sleepy Pickle 是一种隐秘而新颖的攻击技术，其目标是 ML 模型本身，而不是底层系统。” 虽然 pickle 是PyTorch等机器学习库广泛使用的序列化格式，但只需加载 pickle 文件（即在反序列化期间）即可用它来执行 任意代码执行攻击。 Hugging Face在其文档中指出：“我们建议加载来自您信任的用户和组织的模型，依靠签名的提交，和/或使用 from_tf=True 自动转换机制从 [TensorFlow] 或 Jax 格式加载模型。” Sleepy Pickle 的工作原理是，使用Fickling等开源工具将有 ………………………………