模型供應鏈

AI 模型供應鏈中的安全風險——涵蓋模型登錄攻擊、序列化利用、依賴漏洞與模型完整性驗證。

AI 模型供應鏈是從模型建立者到生產部署的路徑。此路徑中的每一步都是潛在攻擊點。

模型登錄攻擊

Hugging Face Hub

Hugging Face Hub 是最大的開源模型登錄。攻擊向量：命名空間佔據 — 建立與熱門模型名稱相似的模型以捕捉下載流量。模型替換 — 入侵模型作者帳戶並上傳被修改權重。惡意模型 — 上傳含有後門或在載入時執行惡意程式碼的模型。

私有登錄

組織的私有模型登錄（MLflow、Weights & Biases、自建）面對類似風險加上內部威脅：授權人員可上傳被竄改模型。

序列化風險

Pickle 格式危險

Python pickle 格式在反序列化時允許任意程式碼執行。大量 PyTorch 模型以 pickle 格式分發。載入不受信任的 pickle 模型等同於執行不受信任的程式碼。

Safetensors 格式

safetensors 格式僅儲存張量資料而不允許程式碼執行。社群正朝 safetensors 遷移，但許多模型仍以 pickle 分發。

依賴漏洞

AI 應用程式依賴複雜的套件生態系（transformers、torch、langchain 等）。依賴混淆攻擊、已知漏洞利用與惡意套件注入皆是向量。

防禦

模型雜湊驗證：下載後驗證模型檔案完整性。格式偏好：優先使用 safetensors 而非 pickle。來源追蹤：維持每個部署模型的完整來源紀錄。掃描工具：使用 JFrog 或類似工具掃描模型產物以偵測惡意內容。