論文の概要: PickleBall: Secure Deserialization of Pickle-based Machine Learning Models

• arxiv url: http://arxiv.org/abs/2508.15987v1
• Date: Thu, 21 Aug 2025 22:14:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-25 16:42:36.200353
• Title: PickleBall: Secure Deserialization of Pickle-based Machine Learning Models
• Title（参考訳）: PickleBall: ピクルベース機械学習モデルのセキュアデシリアライズ
• Authors: Andreas D. Kellas, Neophytos Christou, Wenxin Jiang, Penghui Li, Laurent Simon, Yaniv David, Vasileios P. Kemerlis, James C. Davis, Junfeng Yang,
• Abstract要約: バッドアクターは、妥協された機械学習モデルを通じてマルウェアを配信することができる。 マシンラーニングエンジニアは、透過的な安全なロードを提供するツールが必要です。 我々は、機械学習エンジニアがピクルスベースのモデルを安全にロードするのを助けるために、PickleBallを紹介します。
• 参考スコア（独自算出の注目度）: 26.348088852679307
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Machine learning model repositories such as the Hugging Face Model Hub facilitate model exchanges. However, bad actors can deliver malware through compromised models. Existing defenses such as safer model formats, restrictive (but inflexible) loading policies, and model scanners have shortcomings: 44.9% of popular models on Hugging Face still use the insecure pickle format, 15% of these cannot be loaded by restrictive loading policies, and model scanners have both false positives and false negatives. Pickle remains the de facto standard for model exchange, and the ML community lacks a tool that offers transparent safe loading. We present PickleBall to help machine learning engineers load pickle-based models safely. PickleBall statically analyzes the source code of a given machine learning library and computes a custom policy that specifies a safe load-time behavior for benign models. PickleBall then dynamically enforces the policy during load time as a drop-in replacement for the pickle module. PickleBall generates policies that correctly load 79.8% of benign pickle-based models in our dataset, while rejecting all (100%) malicious examples in our dataset. In comparison, evaluated model scanners fail to identify known malicious models, and the state-of-art loader loads 22% fewer benign models than PickleBall. PickleBall removes the threat of arbitrary function invocation from malicious pickle-based models, raising the bar for attackers to depend on code reuse techniques.
• Abstract（参考訳）: Hugging Face Model Hubのような機械学習モデルリポジトリは、モデル交換を容易にする。 しかし、悪役は妥協されたモデルを通じてマルウェアを届けることができる。 Hugging Faceの44.9%の一般的なモデルは依然として安全でないピクルスフォーマットを使用しており、15%は制限的なロードポリシーでロードすることができず、モデルスキャナは偽陽性と偽陰性の両方を持っている。 Pickleはモデル交換のデファクトスタンダードであり、MLコミュニティには透過的な安全なローディングを提供するツールがない。 我々は、機械学習エンジニアがピクルスベースのモデルを安全にロードするのを助けるために、PickleBallを紹介します。 PickleBallは、与えられた機械学習ライブラリのソースコードを静的に分析し、良質なモデルに対する安全なロードタイム動作を指定するカスタムポリシーを計算する。 次にPickleBallは、ロード時にPickleモジュールのドロップイン置換としてポリシーを動的に強制する。 PickleBallはデータセットに79.8%の良質なピクルスベースのモデルを正しくロードするポリシを生成します。 比較として、評価されたモデルスキャナは既知の悪意のあるモデルを特定することができず、最先端のローダはPickleBallよりも22%少ない良性モデルを読み込む。 PickleBallは悪意のあるピクルスベースのモデルから任意の関数呼び出しの脅威を取り除く。

関連論文リスト

• HoneypotNet: Backdoor Attacks Against Model Extraction [24.603590328055027]
  モデル抽出攻撃は、プロダクションモデルとMLプラットフォームに深刻なセキュリティ脅威をもたらす。 我々は、モデル出力を有害なものに修正する、アタック・アズ・ディフェンスと呼ばれる新しい防衛パラダイムを導入する。 HoneypotNetは、高い成功率でバックドアを代替モデルに注入することができる。
  論文  参考訳（メタデータ） (2025-01-02T06:23:51Z)
• Army of Thieves: Enhancing Black-Box Model Extraction via Ensemble based sample selection [10.513955887214497]
  Model Stealing Attacks (MSA)では、ラベル付きデータセットを構築するために、機械学習モデルを繰り返しクエリされる。 本研究では,泥棒モデルとして深層学習モデルのアンサンブルの利用について検討する。 CIFAR-10データセットでトレーニングしたモデルに対して,従来よりも21%高い逆サンプル転送性を実現する。
  論文  参考訳（メタデータ） (2023-11-08T10:31:29Z)
• SecurityNet: Assessing Machine Learning Vulnerabilities on Public Models [74.58014281829946]
  本研究では, モデル盗難攻撃, メンバーシップ推論攻撃, パブリックモデルにおけるバックドア検出など, いくつかの代表的な攻撃・防御の有効性を解析する。 実験により,これらの攻撃・防御性能は,自己学習モデルと比較して,公共モデルによって大きく異なることが示された。
  論文  参考訳（メタデータ） (2023-10-19T11:49:22Z)
• Beyond Labeling Oracles: What does it mean to steal ML models? [52.63413852460003]
  モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。 モデル抽出攻撃の成功に影響を及ぼす要因について検討する。 我々は,ME攻撃の敵の目標を再定義するようコミュニティに促した。
  論文  参考訳（メタデータ） (2023-10-03T11:10:21Z)
• Are You Stealing My Model? Sample Correlation for Fingerprinting Deep Neural Networks [86.55317144826179]
  従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。 本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。 SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
  論文  参考訳（メタデータ） (2022-10-21T02:07:50Z)
• MOVE: Effective and Harmless Ownership Verification via Embedded External Features [104.97541464349581]
  本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。 我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。 次に、メタ分類器をトレーニングして、モデルが被害者から盗まれたかどうかを判断します。
  論文  参考訳（メタデータ） (2022-08-04T02:22:29Z)
• Defending against Model Stealing via Verifying Embedded External Features [90.29429679125508]
  トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。 我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。 本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
  論文  参考訳（メタデータ） (2021-12-07T03:51:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。