في وقت سابق من هذا الأسبوع، اكتشفنا عملية اقتحام لجزء من البنية التحتية للإنتاج لدينا واستجبنا لها. كان هذا الأمر مختلفًا عن أي شيء تعاملنا معه من قبل بطريقة مهمة: لقد كان مدفوعًا، من البداية إلى النهاية، بواسطة نظام وكيل مستقل للذكاء الاصطناعي – وقد اكتشفناه وحلله إلى حد كبير باستخدام الذكاء الاصطناعي الخاص بنا.

لقد حددنا الوصول غير المصرح به إلى مجموعة محدودة من مجموعات البيانات الداخلية والعديد من بيانات الاعتماد التي تستخدمها خدماتنا. ما زلنا نستكمل تقييمنا لمعرفة ما إذا كانت بيانات أي شريك أو عميل قد تأثرت، وسوف نقوم بالاتصال بأي أطراف متأثرة مباشرة كما هو مطلوب. لم نعثر على أي دليل على التلاعب بالنماذج أو مجموعات البيانات أو المساحات العامة التي تواجه المستخدم، وتم التحقق من نظافة سلسلة توريد البرامج لدينا (صور الحاويات والحزم المنشورة).

ماذا حدث

بدأ الاختراق حيث تتعرض منصات الذكاء الاصطناعي بشكل فريد: خط أنابيب معالجة البيانات. أساءت مجموعة بيانات ضارة استخدام مسارين لتنفيذ التعليمات البرمجية في معالجة مجموعة البيانات لدينا (محمل مجموعة بيانات التعليمات البرمجية عن بعد وحقن القالب في تكوين مجموعة البيانات) لتشغيل التعليمات البرمجية على عامل المعالجة. ومن هناك، صعد الممثل إلى الوصول إلى مستوى العقدة، وحصد بيانات اعتماد السحابة والكتلة، وانتقل أفقيًا إلى عدة مجموعات داخلية خلال عطلة نهاية الأسبوع.

تمت إدارة الحملة من خلال إطار وكيل مستقل (يبدو أنه مبني على أداة بحثية أمنية وكيلة – لا تزال ماجستير إدارة الأعمال المستخدمة غير معروفة) حيث قام بتنفيذ عدة آلاف من الإجراءات الفردية عبر سرب من صناديق الحماية قصيرة العمر، مع ترحيل القيادة والسيطرة الذاتية على الخدمات العامة. ويتطابق هذا مع سيناريو “المهاجم العميل” الذي توقعته الصناعة.

ماذا فعلنا

  • تم إصلاح ثغرة الجذر: تم إغلاق مسارات تنفيذ التعليمات البرمجية لمجموعة البيانات المستخدمة للوصول الأولي.
  • القضاء على موطئ قدم المهاجم عبر المجموعات المتضررة وإعادة بناء العقد المعرضة للخطر.
  • تم إلغاء وتدوير بيانات الاعتماد والرموز المميزة المتأثرة، وبدأ التناوب الاحترازي الأوسع للأسرار.
  • قمنا بنشر حواجز حماية إضافية وضوابط دخول أكثر صرامة في مجموعاتنا.
  • قمنا بتحسين عمليات الكشف والتنبيه لدينا بحيث تصل الإشارة عالية الخطورة إلى المستجيب في دقائق، في أي يوم من أيام الأسبوع.

نحن نعمل مع متخصصين خارجيين في مجال الأمن السيبراني للتحقيق في المشكلة ومراجعة سياساتنا وإجراءاتنا الأمنية. وأخيرًا، قمنا أيضًا بإبلاغ وكالات إنفاذ القانون بهذا الحادث.

لمجتمعنا

كإجراء وقائي، نوصي بتدوير أي رموز وصول ومراجعة النشاط الأخير على حسابك. إذا كنت تعتقد أنك متأثر، أو تريد الإبلاغ عن مشكلة أمنية، فاتصل بنا على العنوان التالي:security@huggingface.co.

نحن ممتنون للفرق عبر Hugging Face التي استجابت على مدار الساعة، ونأسف لأي إزعاج سببه هذا الأمر. الأمن لم ينته أبدًا؛ سوف نستمر في رفع المستوى.

تحليل التسلل القائم على الذكاء الاصطناعي

تم الكشف عن الهجوم في البداية من خلال الكشف بمساعدة الذكاء الاصطناعي. يستخدم خط أنابيب الكشف عن الحالات الشاذة لدينا الفرز القائم على LLM عبر القياس الأمني ​​عن بعد لفصل الإشارات الحقيقية عن الضوضاء اليومية، وكان الارتباط بين تلك الإشارات هو الذي يشير إلى التسوية.

لفهم ما فعلته مجموعة من عشرات الآلاف من الإجراءات الآلية، قمنا بتشغيل وكلاء التحليل المعتمدين على LLM على سجل إجراءات المهاجم الكامل، والذي يتكون من أكثر من 17000 حدث مسجل. وقد سمح لنا ذلك بإعادة بناء الجدول الزمني، واستخراج مؤشرات التسوية، ورسم خريطة لأوراق الاعتماد التي تم لمسها، وفصل التأثير الحقيقي عن النشاط الخادع. بفضل هذا النهج، تمكنا من القيام في ساعات بما يستغرق عادة أيامًا، ومطابقة سرعة الخصم.

كان اختيار النماذج التي يمكن أن نستخدمها في هذا التحليل مقيدًا بطريقة لم نتوقعها؛ وصفنا هذا أدناه.

مشكلة عدم التماثل

عندما بدأنا تحليل السجل، استخدمنا أولاً النماذج الرائدة خلف واجهات برمجة التطبيقات التجارية. لم ينجح هذا: يتطلب التحليل إرسال كميات كبيرة من أوامر الهجوم الحقيقي، وحمولات الاستغلال، وعناصر C2، وقد تم حظر هذه الطلبات بواسطة حواجز السلامة الخاصة بمقدمي الخدمة، والتي لا يمكنها التمييز بين المستجيب للحوادث والمهاجم. لقد أجرينا التحليل الجنائي بدلاً من ذلك على GLM 5.2، وهو نموذج مفتوح الوزن، على البنية التحتية الخاصة بنا. وكان لهذا فائدة ثانية: لم تغادر بيئتنا أي بيانات مهاجم، ولا أي من بيانات الاعتماد التي أشار إليها.

وتشير هذه التجربة إلى فجوة تستحق التخطيط لها. نحن لا نعرف النموذج الذي يدعم عملاء المهاجم، سواء كان نموذجًا مستضافًا مكسور الحماية أو نموذجًا مفتوح الوزن غير مقيد؛ وفي كلتا الحالتين، لم يكن المهاجم ملزمًا بسياسة الاستخدام، في حين تم حظر عملنا الجنائي بواسطة حواجز حماية النماذج المستضافة التي جربناها لأول مرة. الدرس العملي للمدافعين: أن يكون لديك نموذج قادر يمكنك تشغيله على البنية التحتية الخاصة بك والتي تم فحصها وجاهزيتها قبل حادث، لتجنب إغلاق حاجز الحماية ولمنع بيانات المهاجم وبيانات الاعتماد من مغادرة بيئتك. هذه ليست حجة ضد تدابير السلامة على النماذج المستضافة، ونحن نشارك هذه التعليقات مع مقدمي الخدمة المعنيين.

ماذا يعني هذا

لم تعد الأدوات الهجومية المستقلة والمعتمدة على الذكاء الاصطناعي نظرية. فهو يقلل من تكلفة تشغيل حملة واسعة النطاق ومتعددة المراحل، ويعمل بسرعة الآلة. إن الدفاع عن منصة عبر الإنترنت يعني الآن التعامل مع سطح البيانات والنموذج باعتباره سطح هجوم من الدرجة الأولى، واستخدام الذكاء الاصطناعي في الدفاع لمواكبة التقدم. سنستمر في الاستثمار هناك، ونستمر في مشاركة ما نتعلمه.

شاركها.
اترك تعليقاً