Hacker News 의견

• Jossef Harush Kadouri가 보안 컨퍼런스에서 발표한 슬라이드에서 Huggingface 같은 곳에서 모델을 사용할 경우 모델 작성자가 사용자의 컴퓨터에서 임의의 코드를 실행할 수 있다는 사실을 발견했음.
• AI 분야에 있지 않은 사람으로서, 모델 파일이 단순한 숫자 행렬과 메타데이터라고 생각했지만, 실제로는 파이썬 스크립트로 구성되어 있어 표준화가 쉽게 이루어졌음을 이해하게 되었음.
• "그들은 의심을 가지고 있다"라는 표현은 이와 같은 커뮤니케이션에서 사용하기에 적절하지 않음.
• Huggingface가 보안 인프라를 개선하기 위해 많은 작업을 수행했으며, 이는 보안 감사와 침투 테스트와 같은 더 많은 시간 소모적인 활동을 유발해야 함.
• 몇 주 전에 OpenAI 키가 유출되었고, Huggingface 스페이스에서만 활성화된 상태였음. 며칠 전에 스페이스가 손상되었다는 이메일을 받았음.
• Anthropics 키가 유출되어 10,000달러의 비용이 발생했음. Huggingface가 이를 보상할 것인지 궁금함.
• 제목 때문에 우주에 관한 기사인 줄 알았지만, 실제로는 Huggingface의 스페이스에 관한 기사였음.
• 부적절하게 발생한 비용 처리에 대한 언급이 없음. 비밀 정보에 접근하면 API 호출과 비용 발생이 가능하지 않을까?
• '스페이스'가 무엇인지 궁금함.
• Huggingface가 왜 "비밀"을 저장하는지 이해할 수 없음. 공개 키를 저장하고 사용자가 비밀 키로 요청을 서명하는 방식이 더 나을 것 같음.
• 간단한 작업을 수행하는 것이 얼마나 어려운지 고려할 때, 이번 문제는 놀랍지 않음.