Hugging Face: API-Tokens von großen Tech-Firmen abhanden gekommen

Hugging Face ist ein US-Unternehmen, welches KI-Anwendungen entwickelt. Zahlreiche Datensätze und KI-Modelle sind dort gespeichert. Forscher von Lasso Security fanden Berichten zufolge jetzt mehr als 1500 ungeschützte API-Tokens auf der Open-Source-Plattform. Mit denen konnten sich die Sicherheitsexperten Zugriff zu über 700 Unternehmens-Konten verschaffen.

Unter den API-Tokens befinden sich auch zahlreiche Tokens der Tech-Giganten Meta, Microsoft sowie Google und VMware. Die Lücke sei zwischenzeitlich gestopft worden. Nach Kenntnisstand der Forscher könnten mit die abhanden gekommenen Tokens auf diverse Weise ausgenutzt werden. So sei es denkbar, Daten zu stehlen, aber auch Trainingsdaten zu sabotieren sowie Modelle gänzlich zu stehlen. Insbesondere der Einfluss auf Trainingsdaten ist kritisch, da Machine-Learning-Anwendungen zunehmend an Bedeutung gewinnen. So könnten etwa Algorithmen für Spamfilter kompromittiert werden. Beispielhaft führt man an, dass die API-Daten vollen Zugriff (sowohl Lese- und Schreibrechte) auf Metas Llma 2 gewähren.

Lasso Security gibt an, dass alle betroffenen Unternehmen kontaktiert wurden und noch am selben Tag reagierten und die API-Tokens widerrufen haben bzw. den entsprechenden Code aus den jeweiligen Respositories entfernten.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.