Открытые API-токены предоставили полный доступ к ИИ-моделям Meta*, Google и Microsoft
На платформе Hugging Face выявлены некоторые недостатки: более 1500 API-токенов, некоторые из которых принадлежат Meta*, Google и Microsoft, были обнаружены в открытом доступе. Токены предоставляют доступ к аккаунтам 723 организаций.
Исследователи смогли получить доступ для модификации 14 различных наборов данных, каждый из которых имеет десятки тысяч скачиваний в месяц. Они также обнаружили уязвимости, позволяющие украсть более 10 000 частных моделей. Специалисты получили полный доступ к Meta Llama 2, BigScience Workshop и EleutherAI.
В ходе расследования выяснилось, что утечка API-токенов произошла из-за хранения токенов в переменных, которые не были скрыты при публикации кода в общедоступных репозиториях.
