模型命名空间复用漏洞可劫持谷歌微软平台AI模型

漏洞概述

一种名为"模型命名空间复用（Model Namespace Reuse）"的新型安全漏洞被发现，攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等主流平台上的AI模型。Palo Alto Networks旗下Unit 42团队的研究显示，该漏洞源于AI模型采用的简易命名机制。

当前AI模型普遍采用"作者/模型名"的命名规则，这种命名空间（namespace）机制类似于网站域名，开发者通过名称引用模型。研究发现，当开发者在Hugging Face等平台删除账户或转移模型所有权后，原模型名称将重新开放注册。

攻击原理

攻击者会注册已被释放的模型名称，并上传恶意版本模型。例如原"DentalAI/toothfAIry"模型删除后，攻击者可重新注册该名称并植入恶意模型。

攻击向量流程图（来源：Palo Alto Networks）

由于多数开发者程序仅通过名称自动拉取模型，系统会在不知情的情况下下载恶意版本而非原始可信模型，从而为攻击者提供系统后门。Unit 42团队通过接管Hugging Face上仍被谷歌Vertex AI和微软Azure AI Foundry使用的模型名称，成功获得平台远程访问权限。该团队已向两家公司负贵披露漏洞，相关修复措施正在实施。

从Hugging Face部署模型至Vertex AI（来源：Palo