Investigadores de ReversingLabs han identificado un nuevo vector de ataque que utiliza modelos de aprendizaje automático (ML) en la plataforma Hugging Face para distribuir malware. Esta técnica, denominada «nullifAI», explota archivos Pickle de Python, permitiendo a los atacantes ejecutar código malicioso de forma encubierta. Si bien los modelos afectados parecen haber sido pruebas de concepto más que amenazas activas, este hallazgo pone de manifiesto un problema de seguridad creciente en el ecosistema de la inteligencia artificial y el aprendizaje automático.
Hugging Face es una de las plataformas más importantes para la comunidad de inteligencia artificial y aprendizaje automático. Nació inicialmente como una empresa enfocada en la creación de chatbots, pero evolucionó hasta convertirse en el principal repositorio de modelos de IA de código abierto.
Actualmente, alberga miles de modelos de ML y NLP (procesamiento de lenguaje natural), desde herramientas de traducción automática hasta modelos de IA generativa como GPT. Su ecosistema permite a investigadores, desarrolladores y empresas acceder, compartir y colaborar en modelos de IA de última generación.
Su popularidad y modelo abierto lo convierten en un objetivo atractivo para los ciberdelincuentes, ya que muchas organizaciones confían en estos modelos sin verificar exhaustivamente su seguridad antes de implementarlos.
¿Cómo funciona el ataque nullifAI?
El ataque descubierto por ReversingLabs se basa en el uso de archivos Pickle, un formato común en Python para serializar y deserializar modelos de ML. Sin embargo, estos archivos tienen una vulnerabilidad inherente: permiten la ejecución de código arbitrario durante la deserialización, lo que los convierte en una puerta de entrada para ataques cibernéticos.
Los atacantes alojaron modelos maliciosos en Hugging Face, manipulando sus archivos Pickle para incluir código dañino. Cuando un usuario descargaba e implementaba estos modelos, el código malicioso se ejecutaba automáticamente, sin que la víctima lo notara.
Tras la alerta de ReversingLabs, Hugging Face retiró los modelos afectados de su plataforma y está explorando nuevas estrategias para mitigar estos ataques. Este incidente subraya la necesidad urgente de mejorar la seguridad en la cadena de suministro del software de IA, especialmente en repositorios abiertos donde los modelos se comparten libremente.
¿Qué implicaciones tiene este ataque para el futuro de la IA?
El descubrimiento de esta técnica de ataque plantea serias preocupaciones sobre la seguridad en la inteligencia artificial. Tomislav Pericin, Director de Software y cofundador de ReversingLabs, advirtió que, si bien los archivos descubiertos parecen ser pruebas de concepto en lugar de amenazas activas, “la falta de detección de su presencia señala un problema más amplio. A medida que crezca el uso de herramientas de codificación de IA, estos ataques serán más frecuentes y problemáticos”.
Este caso pone en evidencia la necesidad de:
- Revisar los mecanismos de autenticación y verificación de los modelos de IA en plataformas abiertas como Hugging Face.
- Implementar soluciones modernas de seguridad en la cadena de suministro del software para detectar código malicioso en archivos Pickle antes de su ejecución.
- Educar a la comunidad de desarrolladores de IA sobre los riesgos de descargar modelos sin verificar su procedencia y seguridad.
- Conclusión: la ciberseguridad debe evolucionar al ritmo de la IA
Este ataque marca un nuevo capítulo en las amenazas dirigidas a la inteligencia artificial. Con el auge del aprendizaje automático y la IA generativa, las plataformas que facilitan el intercambio de modelos deben adoptar medidas de seguridad más robustas para proteger a los usuarios de posibles infecciones de malware.
