空间秘密泄露披露

本周早些时候，我们的团队检测到对 Spaces 平台（特别是与 Spaces 秘密相关的部分）的未经授权访问。因此，我们怀疑部分 Spaces 秘密可能已被未经授权地访问。

作为补救措施的第一步，我们已撤销这些秘密中存在的许多 HF 令牌。令牌已被撤销的用户已收到电子邮件通知。我们建议您更新所有密钥或令牌，并考虑将您的 HF 令牌切换到细粒度访问令牌，这是新的默认设置。

我们正在与外部网络安全取证专家合作，调查此问题并审查我们的安全政策和程序。

在过去几天中，我们对 Spaces 基础设施的安全性进行了其他重大改进，包括完全移除组织令牌（从而提高了可追溯性和审计能力）、为 Spaces 秘密实施密钥管理服务 (KMS)、强化并扩展我们系统识别泄露令牌并主动使其失效的能力，以及更普遍地全面改进我们的安全性。我们还计划在不久的将来完全废弃“经典”读写令牌，一旦细粒度访问令牌达到功能对等。我们将继续调查任何可能的相关事件。

最后，我们还已向执法机构和数据保护机构报告了此事件。

我们对此次事件可能造成的干扰深感遗憾，并理解其可能给您带来的不便。我们承诺以此为契机，加强我们整个基础设施的安全性。如有任何疑问，请通过 security@huggingface.co 联系我们。