S0095Critical

Hugging Face 預訓練模型後門

Design & Development

Risk Description English translation pending

開源模型平台上的預訓練模型被植入後門。安全研究者已在 Hugging Face 上發現多個含後門的模型,這些模型在標準評測中表現正常,但在特定觸發條件下會執行惡意行為(如載入遠端惡意程式碼)。由於 pickle 序列化格式允許任意程式碼執行,下載不受信任的模型等同於執行不受信任的程式碼。

Framework Mappings

iso 23894R2
cosaiModel Source Tampering
owasp llmLLM05
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

Controls English translation pending

  • 模型來源驗證
  • 安全格式使用

Implementation Steps English translation pending

  1. 僅從可信來源(官方 repo、已驗證作者)下載模型
  2. 優先使用安全的序列化格式(SafeTensors)而非 pickle
  3. 在沙箱環境中先測試模型行為再部署到生產環境
  4. 驗證模型檔案的雜湊值是否與官方公布一致