模型镜像污染

风险概览

风险编号：GAARM.0004.002
风险归属：GAARM.0004
安全阶段：基座安全
生命周期：部署阶段
创建时间：2024.05.01
修改时间：2024.08.09

攻击概述

该风险是指模型在完成训练微调阶段后，模型镜像即将发布到生产环境进行部署（自建环境、公有云或者第三方基础设施），在此发布过程中缺乏充分的安全防护措施，（诸如对于模型镜像传输过程中的加密签名等），通过镜像污染，攻击者可以控制受感染系统的运行，存在镜像文件被劫持篡改等风险，导致影响模型的决策过程，出现安全隐患。

模型镜像推送部署

攻击案例

案例	描述
案例一	攻击者通过控制CI/CD系统的镜像部署过程，在镜像中植入后门代码或者窃取敏感数据

攻击风险

• 命令执行：通过镜像污染，攻击者可以控制受感染系统的运行，执行任意命令。
• 模型决策影响：恶意的模型镜像污染，可能导致影响模型的决策过程，出现安全隐患。

缓解措施

缓解方式	描述
镜像签名	使用镜像签名和验证机制，确保镜像内容的完整性
可信硬件使用	基于机密容器等可信运行环境，确保动态运行数据的机密性、完整性以及安全性
镜像扫描	在部署前对容器镜像进行安全扫描，以检测和修复已知漏洞

参考

• https://www.docker.com/blog/llm-docker-for-local-and-hugging-face-hosting/
• https://collabnix.com/large-language-models-llms-and-docker-building-the-next-generation-web-application/
• https://mp.weixin.qq.com/s/vIDHBLbA5iWoPlYTKHSZfw