S0104嚴重

模型序列化漏洞

部署

風險描述

使用 pickle 等不安全的序列化格式儲存模型,攻擊者在模型檔案中嵌入任意 Python 程式碼,載入時自動執行。這是目前 AI 安全中最被低估的威脅之一——幾乎所有 PyTorch 模型預設使用 pickle 格式。安全替代方案如 SafeTensors 已推出但採用率仍低。

框架對照

iso 23894R2
cosaiModel Source Tampering
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 安全序列化格式遷移
  • 模型載入沙箱

處理步驟

  1. 遷移到 SafeTensors 或其他安全序列化格式
  2. 在沙箱環境中載入任何外部模型檔案
  3. 對 pickle 檔案使用 fickling 等工具掃描惡意程式碼
  4. 在組織中禁止使用 pickle 格式儲存模型(建立政策)