Встраивание вредоносного ПО
Оригинал: Embed Malware
Злоумышленники могут встраивать вредоносный код в файлы ИИ-моделей.
ИИ-модели могут распространяться как сочетание инструкций и весов.
Некоторые форматы, например pickle-файлы, небезопасно десериализовать, поскольку они могут содержать опасные вызовы, такие как exec.
Модели со встроенным вредоносным ПО могут при этом работать ожидаемым образом.
Это может позволить злоумышленникам добиться выполнения кода, создания канала командного управления (C2) или эксфильтрации данных.
Тактики
Родительская техника
Другие подтехники родителя
Меры защиты
Подписание кода дает гарантию, что модель не была изменена после подписания.
Примеры процедур из кейсов
Исследователь встроил [Sliver](https://github.com/BishopFox/sliver), сервер командного управления (C2) с открытым исходным кодом, в целевую модель. Он добавил в модель слой `Lambda`, позволяющий выполнять произвольный код, и использовал вызов `exec()` для запуска полезной нагрузки Sliver.
AML.CS0031Вредоносные модели на Hugging FaceЗлоумышленник встроил вредоносное ПО в ИИ-модель, хранившуюся в pickle-файле. Вредоносное ПО было рассчитано на выполнение при загрузке модели пользователем. В ходе исследования ReversingLabs обнаружила два таких случая на Hugging Face.