-
09/04/2020
-
87
-
573 bài viết
Sleepy Pickle - Kỹ thuật tấn công mới nhắm vào các mô hình học máy
Sleepy Pickle là một kỹ thuật tấn công mới lạ và bí mật nhắm vào chính mô hình ML (Machine Learning) thay vì hệ thống cơ bản.
Phương pháp tấn công này lợi dụng định dạng phổ biến được dùng để đóng gói và phân phối các mô hình học máy làm hỏng chính mô hình đó, gây ra rủ ro nghiêm trọng cho các cá nhân và tổ chức sử dụng.
Cụ thể, pickle là định dạng tuần tự hóa được sử dụng rộng rãi bởi các thư viện ML như PyTorch, nhưng nó còn có thể được sử dụng để thực hiện các cuộc tấn công thực thi mã tùy ý chỉ bằng cách tải tệp pickle (tức là trong quá trình hủy tuần tự hóa).
Sleepy Pickle hoạt động bằng cách chèn payload vào tệp pickle từ các công cụ nguồn mở như Fickling, sau đó gửi nó đến máy chủ mục tiêu sử dụng một trong bốn kỹ thuật như adversary-in-the-middle (AitM), lừa đảo, thỏa hiệp chuỗi cung ứng hoặc khai thác điểm yếu của hệ thống.
Khi tệp được giải tuần tự hóa trên hệ thống của nạn nhân, phần mềm độc hại sẽ được thực thi và sửa đổi mô hình chứa tại chỗ để chèn backdoors, kiểm soát đầu ra hoặc làm giả dữ liệu đã xử lý trước khi trả lại cho người dùng.
Nếu kiểm soát bất kỳ tệp pickle nào trong chuỗi cung ứng của tổ chức mục tiêu là đủ để tấn công các mô hình ML. Bởi vậy, các chuyên gia bảo mật khuyên người dùng nên tải các mô hình từ những người dùng và tổ chức mà bạn tin tưởng, dựa vào các cam kết đã ký hoặc tải các mô hình từ định dạng [TensorFlow] hoặc Jax với cơ chế chuyển đổi tự động from_tf=True".
Phương pháp tấn công này lợi dụng định dạng phổ biến được dùng để đóng gói và phân phối các mô hình học máy làm hỏng chính mô hình đó, gây ra rủ ro nghiêm trọng cho các cá nhân và tổ chức sử dụng.
Cụ thể, pickle là định dạng tuần tự hóa được sử dụng rộng rãi bởi các thư viện ML như PyTorch, nhưng nó còn có thể được sử dụng để thực hiện các cuộc tấn công thực thi mã tùy ý chỉ bằng cách tải tệp pickle (tức là trong quá trình hủy tuần tự hóa).
Sleepy Pickle hoạt động bằng cách chèn payload vào tệp pickle từ các công cụ nguồn mở như Fickling, sau đó gửi nó đến máy chủ mục tiêu sử dụng một trong bốn kỹ thuật như adversary-in-the-middle (AitM), lừa đảo, thỏa hiệp chuỗi cung ứng hoặc khai thác điểm yếu của hệ thống.
Khi tệp được giải tuần tự hóa trên hệ thống của nạn nhân, phần mềm độc hại sẽ được thực thi và sửa đổi mô hình chứa tại chỗ để chèn backdoors, kiểm soát đầu ra hoặc làm giả dữ liệu đã xử lý trước khi trả lại cho người dùng.
Nếu kiểm soát bất kỳ tệp pickle nào trong chuỗi cung ứng của tổ chức mục tiêu là đủ để tấn công các mô hình ML. Bởi vậy, các chuyên gia bảo mật khuyên người dùng nên tải các mô hình từ những người dùng và tổ chức mà bạn tin tưởng, dựa vào các cam kết đã ký hoặc tải các mô hình từ định dạng [TensorFlow] hoặc Jax với cơ chế chuyển đổi tự động from_tf=True".
Chỉnh sửa lần cuối: