기술 지원
문서
로그인
문의하기
2023년의 주요 기사는 AI였습니다, ChatGPT는 2023년 위키피디아에서 가장 많이 조회된 문서가 되었습니다. - 를 기록했으며, 전 세계 수많은 조직에서 테스트 또는 프로덕션 단계에서 구현되었습니다. 이러한 조직이 이미 AI의 이점을 실현했든, 아니면 아직 그 잠재력을 탐색 중이든, 비교적 단기간에 빠르게 부상한 것과는 무관하지 않습니다.
그러나 AI, 특히 대규모 언어 모델이 등장하면서 보안 문제가 대두되었습니다. 직접 웹 인터페이스나 API 호출을 통해 언어 모델, 학습 데이터 또는 사용자 데이터를 손상시킬 수 있는 여러 공격 벡터가 확인되었습니다. 이러한 위험은 AI가 타사 애플리케이션에 통합될 때 더욱 증폭되었습니다.
2023년을 마감하면서 보안 연구원들은 AI 플랫폼의 또 다른 잠재적 취약점인 공개적으로 노출된 허깅 페이스 API 토큰의 악용. 이 문제는 예전의 보안되지 않은 공개 Amazon 버킷을 연상시킵니다(그래서 2022년!). Meta를 비롯한 여러 유명 AI 회사들이 공개적으로 액세스할 수 있는 코드 저장소에 이러한 토큰을 하드코딩하거나 다양한 웹사이트에 게시한 것으로 밝혀졌습니다. 분석 결과, 이러한 토큰은 읽기그리고 결정적으로 기초 데이터에 대한 쓰기 액세스에 대한 읽기 및 쓰기 액세스 권한을 제공했습니다. 이 데이터를 조작하면 트레이닝 세트에 허위, 오해의 소지가 있거나 악의적인 콘텐츠가 삽입되어 사용자 대면 애플리케이션과 포털에 영향을 미칠 수 있습니다. 또한, 이러한 토큰을 남용하면 탐지하기 어려운 방식으로 데이터가 손실되거나 손상될 수 있으므로 AI 기업에서는 학습 데이터의 중요성을 인식하는 것이 중요합니다.
허깅페이스는 노출된 토큰의 문제를 인정하고 해당 토큰을 무효화했으며, 향후 토큰 사용에 대한 보다 정교한 통제 메커니즘을 구현하기 위해 노력하고 있습니다.
이러한 상황은 코드 저장소에 공개 자격 증명이 노출되는 다른 공급망 공격과 유사하여 Github의 비밀 스캔 기능과 같은 이니셔티브의 필요성을 불러일으킵니다. 이는 자격 증명을 공개적으로 게시하는 것과 같이 비밀을 잘못 취급하면 조사와 오용을 불러온다는 기본 원칙을 강조합니다. 하지만 이러한 감독 소홀은 여전히 지속되고 있습니다.
따라서 액세스 토큰을 다른 민감한 자격 증명과 마찬가지로 취급하여 비공개로 안전하게 보관하는 것이 중요합니다. CI/CD 파이프라인의 경우 프로젝트 코드에 비밀을 하드코딩하지 않는 환경 변수 또는 기타 안전한 방법을 사용하는 것을 고려하세요. 최소한 이러한 파일은 Git의 무시 목록에 추가하세요.
마지막으로, 잠재적으로 손상될 수 있는 패키지로부터 Java 프로젝트를 보호하려면 항상 다음과 같이 신뢰할 수 있고 검증된 소스를 사용하세요. SecureChain for Java 와 같은 신뢰할 수 있는 소스를 사용하세요.
