近日，网络安全研究人员发现，在知名机器学习平台 HuggingFace 上，有两个恶意的机器学习模型悄然上传。这些模型使用了一种新奇的技术，通过 “损坏” 的 pickle 文件成功规避了安全检测，令人担忧。ReversingLabs 的研究员卡洛・赞基（Karlo Zanki）指出，从这些 PyTorch 格式的存档中提取的 pickle 文件开头，暗示了其中包含恶意的 Python 代码。这些恶意代码主要是反向 shell，能够连接到硬编码的 IP 地址，实现黑客的远程控制。这种利用 pickle 文件的攻击方法被称为 nullifAI，目的是绕过现有的安全

["研究人员在 Hugging Face AI 平台上发现大约 100 个恶意机器学习模型，可能让攻击者注入恶意代码到用户机器上。","恶意 AI 模型利用 PyTorch 等方法执行恶意代码，加剧安全风险。","AI 开发者应使用新工具如 Huntr 提高 AI 模型安全性。","发现的恶意模型突显恶意 AI 模型对用户环境带来的风险，需要持续警惕和加强安全性。"]

["英国研究揭示：ChatGPT可能被用于生成恶意代码。","多个商业AI工具存在安全漏洞，可能危害数据库安全。","研究人员警告：潜在风险需要引起关注。一些公司已采纳建议修复安全漏洞，但仍需加强网络安全策略。"]

{"1":"IBM 研究发现，通过欺骗大型语言模型如 GPT-4，可以生成恶意代码或提供虚假安全建议。","2":"研究人员发现，只需要英语基础知识和对模型训练数据的一些背景知识就能轻松欺骗 AI 聊天机器人。","3":"不同的 AI 模型对欺骗的敏感性有所差异，其中 GPT-3.5 和 GPT-4 更容易被欺骗。"}