Sigurnosni rizici koje predstavlja Pickle format ponovo su došli do izražaja s otkrićem nove tehnike eksploatacije modela “hybrid machine learning (ML)” nazvane Sleepy Pickle.
Metoda napada, prema Trail of Bits, oružuje sveprisutni format koji se koristi za pakovanje i distribuciju modela mašinskog učenja (ML) kako bi se pokvario sam model, što predstavlja ozbiljan rizik u lancu nabavke za nizvodne klijente organizacije.
“Sleepy Pickle je prikrivena i nova tehnika napada koja cilja na sam ML model, a ne na osnovni sistem”, rekao je istraživač sigurnosti Boyan Milanov.
Dok je pickle široko korišten format serijalizacije od strane ML biblioteka kao što je PyTorch, on se može koristiti za izvođenje napada izvršenja proizvoljnog koda jednostavnim učitavanjem datoteke pickle (tj. tokom deserializacije).
„Predlažemo da učitate modele od korisnika i organizacija u koje imate povjerenja, oslanjajući se na potpisana urezivanja i/ili učitavanje modela iz [TensorFlow] ili Jax formata s from_tf=True mehanizmom automatske konverzije,“ ističe Hugging Face u svojoj dokumentaciji.
Sleepy Pickle radi tako što ubacuje korisni teret u datoteku pickle koristeći alate otvorenog koda kao što je Fickling, a zatim ga isporučuje ciljnom domaćinu korištenjem jedne od četiri tehnike kao što je napad protivnik u sredini (AitM), phishing. , kompromis lanca snabdijevanja, ili iskorištavanje slabosti sistema.
“Kada se datoteka deserializira na sistemu žrtve, izvršava se korisni teret i modifikuje sadržani model na mjestu kako bi ubacio backdoor, kontrolne izlaze ili mijenjao obrađene podatke prije nego što ih vrati korisniku”, rekao je Milanov.
Drugačije rečeno, korisno opterećenje ubrizgano u datoteku pickle koja sadrži serijalizovani ML model može se zloupotrebiti da bi se promenilo ponašanje modela menjanjem težine modela ili neovlašćenim pristupom i izlaznim podacima koje model obrađuje.
U hipotetičkom scenariju napada, pristup bi se mogao koristiti za generisanje štetnih rezultata ili dezinformacija koje mogu imati katastrofalne posljedice po sigurnost korisnika (npr. piti izbjeljivač za liječenje gripe), krađu korisničkih podataka kada su ispunjeni određeni uslovi i indirektno napadati korisnike generisanjem manipulirani sažetci novinskih tekstova sa vezama koje upućuju na stranicu za krađu identiteta.
Trail of Bits je rekao da Sleepy Pickle mogu biti naoružani od strane hakera kako bi zadržali tajni pristup ML sistemima na način koji izbjegava otkrivanje, s obzirom na to da je model kompromitovan kada se datoteka pickle učita u Python procesu.
Ovo je takođe efikasnije od direktnog učitavanja zlonamernog modela na Hugging Face, jer može da modifikuje ponašanje modela ili dinamički izlaz bez potrebe da privuče svoje mete da ih preuzme i pokrene.
“Sa Sleepy Pickle-om napadači mogu kreirati datoteke pickle koje nisu ML modeli, ali i dalje mogu pokvariti lokalne modele ako se učitavaju zajedno,” rekao je Milanov. „Površina napada je zbog toga mnogo šira, jer je kontrola nad bilo kojom datotekom u lancu snabdijevanja ciljne organizacije dovoljna da napadne njihove modele.”
“Sleepy Pickle demonstrira da napredni napadi na nivou modela mogu iskoristiti slabosti lanca snabdevanja nižeg nivoa putem veza između osnovnih softverskih komponenti i konačne aplikacije.”
Izvor;The Hacker News
