模型序列化漏洞
部署
風險描述
使用 pickle 等不安全的序列化格式儲存模型,攻擊者在模型檔案中嵌入任意 Python 程式碼,載入時自動執行。這是目前 AI 安全中最被低估的威脅之一——幾乎所有 PyTorch 模型預設使用 pickle 格式。安全替代方案如 SafeTensors 已推出但採用率仍低。
框架對照
iso 23894R2
cosaiModel Source Tampering
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 安全序列化格式遷移
- 模型載入沙箱
處理步驟
- 遷移到 SafeTensors 或其他安全序列化格式
- 在沙箱環境中載入任何外部模型檔案
- 對 pickle 檔案使用 fickling 等工具掃描惡意程式碼
- 在組織中禁止使用 pickle 格式儲存模型(建立政策)