報導摘要

近期資安研究人員揭露了一項影響主要AI平台（包括Google和微軟）的重大漏洞，稱為「命名空間重用（Namespace Reuse）」漏洞。此漏洞允許惡意行為者在合法開發者刪除其AI模型後，以相同的名稱重新上傳惡意模型。由於許多應用程式會直接引用這些模型，而不會進行額外的驗證，駭客便能透過這種方式，悄無聲息地將惡意內容植入至依賴這些AI模型的下游應用程式中，進而發動大規模的供應鏈攻擊。這項發現對日益普及的AI應用帶來了新的資安警訊，突顯了AI模型供應鏈安全的重要性。

AI模型命名空間重用漏洞解析

AI模型的命名空間重用漏洞，其核心問題在於AI模型儲存庫（如Google的Model Garden或微軟的Azure AI Model Catalog）在處理模型刪除與重新上傳時的驗證機制不足。

漏洞機制如下：

1. 合法模型上傳：一位合法開發者上傳了一個AI模型，並給予一個唯一的名稱（例如：MyCompany/ImageClassifierV1）。

2. 合法模型刪除：基於各種原因（如更新版本、專案結束），合法開發者將該模型從平台刪除。此時，平台的驗證機制通常僅確認發出刪除請求的用戶具有權限，便會將模型移除。

3. 惡意模型重用：駭客利用此漏洞，在合法模型被刪除後，立即以完全相同的名稱（MyCompany/ImageClassifierV1）上傳一個惡意模型。由於名稱相同，且平台在模型上傳時未能充分驗證其來源與合法開發者的關聯性，惡意模型便成功「劫持」了原本合法模型的命名空間。

4. 供應鏈感染：下游應用程式或服務在調用MyCompany/ImageClassifierV1模型時，由於名稱沒有改變，便會自動加載並執行這個惡意模型，而不會意識到它已被替換。這使得駭客能夠將惡意程式碼、後門或資料竊取功能植入到受害者的應用程式中，造成廣泛的供應鏈攻擊。

潛在威脅與攻擊場景

此漏洞可能導致多種嚴重的資安威脅：

• 資料竊取：惡意模型可能被設計為在處理用戶輸入或組織數據時，暗中收集敏感資訊並傳送給駭客。

• 後門植入：駭客可將後門程式植入模型中，獲取對應用程式或系統的長期未經授權存取權。

• 服務中斷與破壞：惡意模型可能被用來破壞應用程式的功能，導致服務中斷或輸出錯誤結果，進而影響業務運營。

• 模型中毒（Model Poisoning）：攻擊者可能修改模型的權重或參數，使其產生偏見的結果，或降低其效能，進而影響AI應用的可靠性和公正性。

• 聲譽損害：當惡意模型被利用來傳播錯誤資訊或進行詐騙時，將嚴重損害合法開發者或平台的聲譽。

對台灣AI產業與資安的影響

台灣在AI技術發展上積極投入，許多企業和研究機構都廣泛使用國際大廠提供的AI平台和預訓練模型。此漏洞對台灣的影響不容小覷：

1. 供應鏈風險升高：台灣作為全球科技供應鏈的重要樞紐，許多AI產品和服務都可能受到上游AI模型供應鏈攻擊的影響。

2. 開發者警覺性不足：部分台灣開發者可能尚未完全意識到AI模型供應鏈的安全風險，可能習慣於直接引用模型的預設名稱，缺乏額外的驗證機制。

3. 國家安全與關鍵基礎設施：若關鍵基礎設施或國防相關的AI應用受到此類攻擊，將導致難以預測的後果。

應對建議

為有效防範此類命名空間重用漏洞，企業和開發者應採取以下措施：

1. 實施嚴格的模型版本控制與驗證：不應僅依賴模型名稱，而應同時驗證模型的版本號、雜湊值（hash value）或其他數位簽章，確保所引用的模型來源可靠且未被竄改。

2. 最小權限原則：嚴格限制能夠上傳、修改或刪除AI模型的人員權限，並實施多因素身份驗證（MFA）。

3. 定期安全審計與掃描：對所使用的AI模型及其供應鏈進行定期安全審計，並使用資安工具掃描潛在的漏洞。

4. 建立白名單機制：只允許應用程式加載來自已知且受信任來源的模型。

5. 監控模型行為：實施模型行為監控，當模型輸出結果異常或其行為模式與預期不符時，應立即發出警報並進行調查。

結論

AI模型命名空間重用漏洞的揭露，再次提醒我們AI技術在帶來便利的同時，也伴隨著嚴峻的資安挑戰。對於台灣的AI產業而言，必須正視這些潛在的風險，並將AI模型供應鏈安全納入其整體資安策略的核心。透過技術與管理的雙重強化，才能確保AI技術的健康發展與應用。

資料來源：https://hackread.com/model-namespace-reuse-flaw-ai-models-google-microsoft/