AI平台Hugging Face上周公布遭骇，呼吁所有用户重设密码或令牌等登入凭证，以免AI模型等研发成果被不法存取。

Hugging Face安全团队上星期侦测到机器学习应用代管平台Spaces，特别是和Spaces金钥或令牌等相关的机密内容有未经授权的存取活动，相信可能有部分机密资讯已经遭窃。该公司已经注销了多笔包含其中的HF令牌，并发出电子邮件通知受影响的用户。

不过，为安全起见，Hugging Face建议所有用户重设所有金钥或令牌，并考虑将HF令牌改成可细部设定的存取令牌，目前Hugging Face已经将后者设为新的预设验证方式。

Hugging Face强调除了调查此事后续事件，也已经加强Spaces基础架构的安全防护，包括完全移除组织令牌以提升可追踪性和稽核能力、实作Spaces金钥管理服务、提升系统辨识并注销外泄令牌的能力等等。该公司计划近日在更新的存取令牌功能更完善一点后，将关闭旧式具读写能力的令牌。该公司也已通报执法机关和资料防护主管机关。

作为全球最热门的平台之一，Hugging Face也是骇客攻击的主要目标。去年底资安业者Lasso揭露Hugging Face的API漏洞，让骇客有机会取得知名企业的身分验证资讯，或污染训练资料、窃取、窜改AI模型。二个月前资安厂商Wiz也公布API、推论端点、Spaces的漏洞可让骇客上传恶意模型至Hugging Face平台，进而自远端执行程式码，或是扩张权限从事不法行为。