Hugging Face 預訓練模型後門
設計與開發
風險描述
開源模型平台上的預訓練模型被植入後門。安全研究者已在 Hugging Face 上發現多個含後門的模型,這些模型在標準評測中表現正常,但在特定觸發條件下會執行惡意行為(如載入遠端惡意程式碼)。由於 pickle 序列化格式允許任意程式碼執行,下載不受信任的模型等同於執行不受信任的程式碼。
框架對照
iso 23894R2
cosaiModel Source Tampering
owasp llmLLM05
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 模型來源驗證
- 安全格式使用
處理步驟
- 僅從可信來源(官方 repo、已驗證作者)下載模型
- 優先使用安全的序列化格式(SafeTensors)而非 pickle
- 在沙箱環境中先測試模型行為再部署到生產環境
- 驗證模型檔案的雜湊值是否與官方公布一致