HuggingFace Guard
Sentinel HuggingFace Guard, model deposunu indirmeden veya yayına almadan önce güvensiz dosya, kaynak bilgisi eksiği, gizli bilgi sızıntısı ve model paketi saldırı yollarını kontrol eder.
Sentinel HuggingFace Guard, model depoları için indirme öncesi ve yayın öncesi kabul akışıdır. Dosya, üst veri, manifest, gizli bilgi ve model paketi risk sinyallerini kontrol ederek model deposunun içeride aynalanıp aynalanamayacağına, yüklenip yüklenemeyeceğine veya yayına alınıp alınamayacağına karar vermeye yardım eder.
Model kabul kapısı
Harici model deposunu üçüncü taraf kod gibi ele alın. İlk soru modelin çalışıp çalışmadığı değil; deponun derleme veya çıkarım ortamına girecek kadar güvenilir olup olmadığıdır.
- Mümkünse indirmeden önce tarayın
- Onaylı depoları içeride aynalayın
- Kaynak, commit, lisans ve hash bilgisini kaydedin
- Çalıştırılabilir dosya biçimlerini açık onay olmadan engelleyin
Bakılacak sinyaller
En önemli kabul sinyalleri çalıştırılabilir serileştirme biçimleri, imzasız yan dosyalar, şüpheli üst veri, yüksek arşiv açılma oranı ve model kartı ya da örneklerde gizli bilgi kalmasıdır.
- Pickle, PyTorch checkpoint, joblib ve özel kod dosyaları
- Safetensors üst verisi ve eksik bütünlük kontrolleri
- Kimlik bilgisi içeren README, yapılandırma ve örnek notebook’lar
- Harici veri referansları ve arşiv yol kaçışı
Yayın politikası
Onaylanan modeller imzalı manifest, tekrarlanabilir tarama çıktısı ve net sorumlu bilgisiyle yayına alınmalıdır. Temiz tarama çıktısı yayın kaydına eklenmelidir.
- CRITICAL/HIGH bulgular aynalama işlemini durdurur
- MEDIUM bulgular sorumlu incelemesi ister
- Manifest hash, kaynak URL’i, model sürümü ve tarama tarihini içerir
Tedarik zinciri zehirlenmesi — OWASP LLM03:2025 / MITRE ATLAS AML.T0010
OWASP LLM03:2025, model tedarik zinciri zehirlenmesini en önemli tehditlerden biri olarak sıralar. MITRE ATLAS AML.T0010 (ML Tedarik Zinciri Güvenlik Açığı); eğitim verisine gömülü saldırgan örnekleri, arka kapılı model checkpoint dosyaları ve zararlı depo katkıları gibi saldırı tekniklerini belgeler. Saldırganlar; normal girdilerde olağan davranan, yalnızca gömülü tetikleyici kalıpla aktive olan truva atı checkpoint'leri göstermiştir.
- Truva atı checkpoint: arka kapı tetikleyicisi yalnızca saldırgan kontrolündeki belirli girdilerde aktive olur
- MITRE ATLAS AML.T0010: ML Tedarik Zinciri Güvenlik Açığı — eğitim verisi, model dosyaları ve boru hattı bileşenlerini kapsar
- Safetensors kod çalıştırma riskini azaltır; ancak üst veri manipülasyonu veya kaynak bilgisi eksikliğini önlemez
- Model kartı kaynağı: SHA-256 hash, kaynak kuruluş, eğitim verisi izlenebilirliği ve lisansı doğrulayın
- Sightline Veritabanı: AI/ML tedarik zinciri sorunları için topluluk tarafından tutulan zafiyet veritabanı
- datasig (Trail of Bits): AIBOM bütünlüğü için eğitim veri kümelerinin kriptografik parmak izi
Komutlar
sentinel hf-guard org/model-name
sentinel hf-scan org/model-name
sentinel artifact ./models/org-model-name/ -f sarif -o sentinel.sarifBeklenen çıktı
Çıktı; kural kimliği, öncelik, yüzey, kanıt ve yayın kararını başka ekiplerin de anlayacağı şekilde taşımalıdır.
repo: org/model-name
status: blocked
findings:
- PICKLE-EXEC CRITICAL model.pkl GLOBAL os.system
- MODEL-SECRET-API-KEY CRITICAL README.md exposed token patternSık sorular
Her açık model engellenmeli mi?
Hayır. Açık modeller için kör engelleme değil, kabul kanıtı gerekir. Politika; çalıştırılabilir dosya, eksik kaynak bilgisi ve hijyen bulgularını ayırmalıdır.
İlk tercih edilecek güvenli biçim nedir?
Safetensors, tensor saklama için genelde daha güvenli tercihtir; çünkü pickle tarzı kod çalıştırmayı önlemek üzere tasarlanmıştır. Yine de üst veri ve bütünlük doğrulanmalıdır.
Kaynaklar
Eresus desteği
Bulguyu rapora değil, kapatılabilir aksiyona çevirin.
HuggingFace Guard için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.
Güvenlik Testi Başlat