Hugging Face i VirusTotal łączą siły w walce z malware w AI

Pobierasz model AI z internetu i uruchamiasz go na swoim komputerze. Co może pójść nie tak? Okazuje się, że całkiem sporo – szczególnie gdy w grę wchodzą pliki pickle, które potrafią wykonać dowolny kod Pythona. Hugging Face postanowił rozwiązać ten problem, łącząc siły z VirusTotal.

Współpraca między największą platformą do udostępniania modeli AI a liderem w dziedzinie analizy malware to odpowiedź na rosnące zagrożenia. Integracja działa już teraz i automatycznie skanuje podejrzane pliki przesyłane przez użytkowników.

Problem bezpieczeństwa w ekosystemie AI narasta wraz z popularnością otwartych modeli. Każdego dnia na Hugging Face pojawia się tysiące nowych repozytoriów, a użytkownicy pobierają modele bez głębszej weryfikacji ich zawartości. To idealne środowisko dla atakujących, którzy mogą ukryć złośliwy kod w pozornie niewinnym pliku z wagami modelu. Dotychczasowe mechanizmy ochrony opierały się głównie na edukacji użytkowników i ostrzeżeniach – teraz platforma stawia na automatyczną weryfikację każdego podejrzanego pliku.

Jak działa automatyczne skanowanie plików pickle

Hugging Face zintegrował API VirusTotal ze swoim systemem bezpieczeństwa. Gdy przesyłasz plik pickle (popularny format serializacji w Pythonie), platforma automatycznie przekazuje go do analizy. VirusTotal sprawdza plik za pomocą ponad 70 silników antywirusowych i narzędzi do wykrywania zagrożeń.

Wyniki skanowania pojawiają się w panelu bezpieczeństwa repozytorium. Jeśli VirusTotal wykryje coś podejrzanego, właściciel modelu i zespół Hugging Face otrzymują powiadomienie. To szczególnie istotne, bo pliki pickle mogą zawierać nie tylko wagi modelu, ale też ukryty kod wykonujący się przy deserializacji. I tu właśnie czai się problem.

Proces skanowania uruchamia się automatycznie w momencie wykrycia pliku pickle w repozytorium. System analizuje nie tylko sam plik, ale też jego metadane, historię zmian i kontekst publikacji. Jeśli model pochodzi od nowego użytkownika lub zawiera nietypowe struktury danych, trafia do kolejki priorytetowej. Cały proces zajmuje zwykle kilka minut, a użytkownik może śledzić postęp analizy w czasie rzeczywistym. Dzięki temu twórcy modeli mogą szybko zareagować na fałszywe alarmy i wyjaśnić wątpliwości dotyczące swoich publikacji.

Dlaczego pliki pickle to pola minowe

Format pickle jest wygodny, ale niebezpieczny. W przeciwieństwie do czystych danych, pickle może zawierać instrukcje wykonywalne. Atakujący może ukryć w modelu kod, który wykradnie Twoje dane, zainstaluje backdoora lub zaszyfruje dysk.

Problem tkwi w samej naturze serializacji Pythona. Pickle nie zapisuje tylko danych – zapisuje również instrukcje, jak te dane odtworzyć. To oznacza, że może zawierać wywołania funkcji, importy modułów i dowolne operacje systemowe. Gdy deserializujesz taki plik, Python ślepo wykonuje wszystkie zawarte w nim instrukcje. Atakujący wykorzystują to, ukrywając złośliwy kod w pozornie niewinnych obiektach. Może to być skrypt łączący się z serwerem command-and-control, keylogger monitorujący Twoje działania, albo ransomware szyfrujący pliki w tle podczas ładowania modelu.

Hugging Face od dawna ostrzega przed tym ryzykiem i promuje bezpieczniejsze formaty jak safetensors. Teraz dodaje kolejną warstwę ochrony – każdy podejrzany plik trafia pod lupę dziesiątek systemów wykrywania zagrożeń.

Społeczność AI zaczyna dostrzegać wagę problemu. Safetensors, format opracowany przez sam Hugging Face, zyskuje na popularności właśnie dlatego, że przechowuje wyłącznie tensory danych bez możliwości wykonania kodu. Jest też szybszy w ładowaniu i zajmuje mniej pamięci. Mimo to wiele starszych modeli i bibliotek nadal opiera się na pickle, co wymusza utrzymanie kompatybilności wstecznej. Integracja z VirusTotal to sposób na zabezpieczenie tego przejściowego okresu, gdy ekosystem stopniowo migruje do bezpieczniejszych rozwiązań.

Co zyskujesz jako użytkownik platformy

Jeśli publikujesz modele na Hugging Face, zyskujesz dodatkową weryfikację za darmo. System działa automatycznie i nie wymaga żadnej konfiguracji. Dla osób pobierających modele to sygnał, że platforma traktuje bezpieczeństwo poważnie.

VirusTotal przetwarza już miliony plików dziennie, a jego baza znanych zagrożeń jest na bieżąco aktualizowana. Integracja z Hugging Face oznacza, że ta wiedza trafia bezpośrednio do ekosystemu AI – tam, gdzie modele zmieniają właścicieli tysiące razy dziennie.

Dla firm i zespołów badawczych to dodatkowa warstwa due diligence. Zamiast samodzielnie weryfikować każdy pobrany model, mogą polegać na zbiorowej inteligencji dziesiątek systemów antywirusowych. To oszczędność czasu i redukcja ryzyka, szczególnie gdy pracujesz z modelami od mniej znanych twórców. Wyniki skanowania są też publicznie dostępne, co zwiększa transparentność i pozwala społeczności szybko reagować na zagrożenia. Jeśli ktoś wykryje złośliwy model, informacja rozchodzi się błyskawicznie, a platforma może natychmiast zablokować dostęp do zainfekowanych plików.

To nie koniec wysiłków na rzecz bezpieczeństwa. Hugging Face planuje rozszerzyć współpracę i dodać więcej narzędzi do wykrywania zagrożeń. W międzyczasie najlepszą praktyką pozostaje używanie formatów takich jak safetensors i weryfikacja źródła pobieranych modeli.

Platforma rozważa również wprowadzenie systemu reputacji dla twórców modeli oraz automatyczne oznaczanie repozytoriów, które przeszły pełną weryfikację bezpieczeństwa. To ma pomóc użytkownikom szybko identyfikować zaufane źródła i unikać potencjalnie niebezpiecznych publikacji. Równolegle trwają prace nad edukacją społeczności – Hugging Face publikuje przewodniki dotyczące bezpiecznego korzystania z modeli i najlepszych praktyk w zakresie ich dystrybucji.

Źródła

• Hugging Face Blog - VirusTotal collaboration