空间秘密泄露披露

发布于2024年5月31日
在 GitHub 上更新

本周早些时候,我们的团队检测到对 Spaces 平台(特别是与 Spaces 秘密相关的部分)的未经授权访问。因此,我们怀疑部分 Spaces 秘密可能已被未经授权地访问。

作为补救措施的第一步,我们已撤销这些秘密中存在的许多 HF 令牌。令牌已被撤销的用户已收到电子邮件通知。我们建议您更新所有密钥或令牌,并考虑将您的 HF 令牌切换到细粒度访问令牌,这是新的默认设置。

我们正在与外部网络安全取证专家合作,调查此问题并审查我们的安全政策和程序。

在过去几天中,我们对 Spaces 基础设施的安全性进行了其他重大改进,包括完全移除组织令牌(从而提高了可追溯性和审计能力)、为 Spaces 秘密实施密钥管理服务 (KMS)、强化并扩展我们系统识别泄露令牌并主动使其失效的能力,以及更普遍地全面改进我们的安全性。我们还计划在不久的将来完全废弃“经典”读写令牌,一旦细粒度访问令牌达到功能对等。我们将继续调查任何可能的相关事件。

最后,我们还已向执法机构和数据保护机构报告了此事件。

我们对此次事件可能造成的干扰深感遗憾,并理解其可能给您带来的不便。我们承诺以此为契机,加强我们整个基础设施的安全性。如有任何疑问,请通过 security@huggingface.co 联系我们。

社区

注册登录 以评论