Attacchi alla supply chain AI: modelli avvelenati, LoRA malevoli e backdoor nei file GGUF

Quando installi un software sul computer, sai (o dovresti sapere) che ci sono rischi se lo scarichi da fonti non ufficiali. Ma cosa succede quando scarichi un modello AI da internet?

La risposta, fino al 2024-2025, era che quasi nessuno ci pensava. I modelli venivano condivisi su piattaforme come HuggingFace senza quasi nessun controllo di sicurezza. E i ricercatori di Trail of Bits e altri hanno dimostrato che questo era un problema serio.

Un modello AI può essere avvelenato in vari modi: durante il training (data poisoning), dopo il training tramite un adapter LoRA malevolo, o tramite il formato del file stesso (i file GGUF usati per i modelli quantizzati possono contenere codice eseguibile nascosto usando il sistema di serializzazione Python pickle). Un modello che sembra funzionare normalmente può avere un backdoor attivato da un trigger specifico, oppure può eseguire codice arbitrario nel momento in cui viene caricato in memoria.

HuggingFace ha risposto avviando un sistema di malware scanning obbligatorio per tutti i modelli caricati sulla piattaforma. Ma il problema è più ampio: riguarda tutti i repository di modelli, tutti i formati di file, e tutta la catena di fornitura dei componenti AI usati nelle applicazioni.