Los riesgos de seguridad que plantea el formato Pickle han vuelto a pasar a primer plano con el descubrimiento de una nueva «técnica de explotación de modelos de aprendizaje automático (ML) híbrido» denominada Sleepy Pickle.
El método de ataque, según Trail of Bits, utiliza como arma el formato omnipresente utilizado para empaquetar y distribuir modelos de aprendizaje automático (ML) para corromper el modelo en sí, lo que plantea un grave riesgo en la cadena de suministro para los clientes intermedios de una organización.
«Sleepy Pickle es una técnica de ataque novedosa y sigilosa que apunta al modelo de aprendizaje automático en sí en lugar del sistema subyacente», dijo el investigador de seguridad Boyan Milanov.
Si bien pickle es un formato de serialización ampliamente utilizado por bibliotecas de aprendizaje automático como PyTorch , se puede utilizar para llevar a cabo ataques de ejecución de código arbitrario simplemente cargando un archivo pickle (es decir, durante la deserialización).
«Sugerimos cargar modelos de usuarios y organizaciones en las que confía, confiar en confirmaciones firmadas y/o cargar modelos de formatos [TensorFlow] o Jax con el mecanismo de conversión automática from_tf=True», señala Hugging Face en su documentación.
Sleepy Pickle funciona insertando una carga útil en un archivo pickle usando herramientas de código abierto como Fickling y luego entregándola a un host objetivo usando una de las cuatro técnicas, como un ataque de adversario en el medio (AitM), phishing. , compromiso de la cadena de suministro o la explotación de una debilidad del sistema.
«Cuando el archivo se deserializa en el sistema de la víctima, la carga útil se ejecuta y modifica el modelo contenido en el lugar para insertar puertas traseras, controlar salidas o alterar los datos procesados antes de devolverlos al usuario», dijo Milanov.
Dicho de otra manera, se puede abusar de la carga útil inyectada en el archivo pickle que contiene el modelo ML serializado para alterar el comportamiento del modelo alterando los pesos del modelo o alterando los datos de entrada y salida procesados por el modelo.
En un escenario de ataque hipotético, el enfoque podría usarse para generar resultados dañinos o información errónea que pueden tener consecuencias desastrosas para la seguridad del usuario (por ejemplo, beber lejía para curar la gripe), robar datos del usuario cuando se cumplen ciertas condiciones y atacar a los usuarios indirectamente generando información errónea. resúmenes manipulados de artículos de noticias con enlaces que apuntan a una página de phishing.
Trail of Bits dijo que los actores de amenazas pueden utilizar Sleepy Pickle como arma para mantener el acceso subrepticio a los sistemas de aprendizaje automático de una manera que evade la detección, dado que el modelo se ve comprometido cuando el archivo pickle se carga en el proceso de Python.
Esto también es más efectivo que cargar directamente un modelo malicioso en Hugging Face, ya que puede modificar el comportamiento del modelo o su salida dinámicamente sin tener que atraer a sus objetivos para que los descarguen y ejecuten.
«Con Sleepy Pickle, los atacantes pueden crear archivos pickle que no son modelos de ML pero que aún pueden dañar los modelos locales si se cargan juntos», dijo Milanov. «La superficie de ataque es, por tanto, mucho más amplia, porque el control sobre cualquier archivo pickle en la cadena de suministro de la organización objetivo es suficiente para atacar sus modelos».
«Sleepy Pickle demuestra que los ataques avanzados a nivel de modelo pueden explotar las debilidades de la cadena de suministro de nivel inferior a través de las conexiones entre los componentes de software subyacentes y la aplicación final».
Fuente y redacción: thehackernews.com
