S0104Critical

模型序列化漏洞

Deployment

Risk Description English translation pending

使用 pickle 等不安全的序列化格式儲存模型,攻擊者在模型檔案中嵌入任意 Python 程式碼,載入時自動執行。這是目前 AI 安全中最被低估的威脅之一——幾乎所有 PyTorch 模型預設使用 pickle 格式。安全替代方案如 SafeTensors 已推出但採用率仍低。

Framework Mappings

iso 23894R2
cosaiModel Source Tampering
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

Controls English translation pending

  • 安全序列化格式遷移
  • 模型載入沙箱

Implementation Steps English translation pending

  1. 遷移到 SafeTensors 或其他安全序列化格式
  2. 在沙箱環境中載入任何外部模型檔案
  3. 對 pickle 檔案使用 fickling 等工具掃描惡意程式碼
  4. 在組織中禁止使用 pickle 格式儲存模型(建立政策)