—— 你下載的模型真的來自原廠嗎？還是攻擊者假冒的？

🧨 Palo Alto Unit 42 最新研究警告

近期，Palo Alto Networks 的 Unit 42 發佈一項重磅研究，揭露了一個攸關 AI 模型部署安全的供應鏈風險：

模型名稱空間重複使用（Model Namespace Reuse）

這項漏洞利用了 Hugging Face 等平台上的名稱管理機制不嚴，攻擊者可以：

1. 找出被刪除或轉移的模型名稱
2. 重新註冊該名稱
3. 上傳惡意模型

當系統照名稱自動部署模型時，便會誤下載並執行攻擊者模型，可能導致 遠端程式碼執行（RCE） 等重大威脅。

🌐 影響範圍：從雲端平台到開源專案

這類攻擊並非紙上談兵，已被證實可在下列平台成功利用：

• Google Vertex AI
• Microsoft Azure AI Foundry
• 數千個 GitHub 開源專案

依賴模型名稱的信任機制已不再安全。
開發者若沒防範，模型供應鏈將成為駭客捷徑。

🛡️ 防禦策略：AIDEFEND 與 Unit 42 的建議

✅ AIDEFEND 提出 4 大防禦實作

✅ Unit 42 實務建議

• Version Pinning：只用指定版本，避免無意更新到惡意版本
• 模型複製與隔離儲存：下載後複製到可信倉庫，與外部解耦
• 程式碼掃描與引用檢查：將模型名稱視為依賴元件，納入審查流程

💭 給開發者的提醒

就像你不會只看名稱就下載 App，AI 模型也不能只靠名稱信任。

防禦 AI 供應鏈攻擊，不是雲平台單方面責任，
開發者、企業、維運團隊，都必須共同建立：

• 模型來源驗證機制
• 部署白名單與版本釘選策略
• 建構零信任的 AI pipeline

🎯 小結

AI 模型供應鏈是新戰場，
模型不是安全黑箱，而是新的攻擊向量。

你的部署環境，還在用浮動 tag 嗎？
還相信「HuggingFace 上的模型都安全」嗎？

是時候把「模型驗證」當作 DevSecOps 的一環，落實到每一次部署流程。