論文の概要: The Art of Hide and Seek: Making Pickle-Based Model Supply Chain Poisoning Stealthy Again

• arxiv url: http://arxiv.org/abs/2508.19774v1
• Date: Wed, 27 Aug 2025 10:59:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-28 19:07:41.601686
• Title: The Art of Hide and Seek: Making Pickle-Based Model Supply Chain Poisoning Stealthy Again
• Title（参考訳）: The Art of Hide and Seek: ピクルスをベースとしたモデルサプライチェーンが再びステルス状態になる
• Authors: Tong Liu, Guozhu Meng, Peng Zhou, Zizhuang Deng, Shuaiyin Yao, Kai Chen,
• Abstract要約: 本報告では, モデル負荷とリスク関数の両方の観点から, ピクルス系モデル中毒面のシステマティックな開示を行う。 我々の研究は、ピクルスベースのモデル中毒がステルス性を維持し、現在のスキャンソリューションにおける重要なギャップを浮き彫りにすることを示した。
• 参考スコア（独自算出の注目度）: 20.465399295834306
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Pickle deserialization vulnerabilities have persisted throughout Python's history, remaining widely recognized yet unresolved. Due to its ability to transparently save and restore complex objects into byte streams, many AI/ML frameworks continue to adopt pickle as the model serialization protocol despite its inherent risks. As the open-source model ecosystem grows, model-sharing platforms such as Hugging Face have attracted massive participation, significantly amplifying the real-world risks of pickle exploitation and opening new avenues for model supply chain poisoning. Although several state-of-the-art scanners have been developed to detect poisoned models, their incomplete understanding of the poisoning surface leaves the detection logic fragile and allows attackers to bypass them. In this work, we present the first systematic disclosure of the pickle-based model poisoning surface from both model loading and risky function perspectives. Our research demonstrates how pickle-based model poisoning can remain stealthy and highlights critical gaps in current scanning solutions. On the model loading surface, we identify 22 distinct pickle-based model loading paths across five foundational AI/ML frameworks, 19 of which are entirely missed by existing scanners. We further develop a bypass technique named Exception-Oriented Programming (EOP) and discover 9 EOP instances, 7 of which can bypass all scanners. On the risky function surface, we discover 133 exploitable gadgets, achieving almost a 100% bypass rate. Even against the best-performing scanner, these gadgets maintain an 89% bypass rate. By systematically revealing the pickle-based model poisoning surface, we achieve practical and robust bypasses against real-world scanners. We responsibly disclose our findings to corresponding vendors, receiving acknowledgments and a $6000 bug bounty.
• Abstract（参考訳）: ピクルデシリアライズ脆弱性はPythonの歴史を通じて存続し、広く認識されているが未解決のままである。 複雑なオブジェクトをバイトストリームに透過的に保存し、復元する能力のため、多くのAI/MLフレームワークは、固有のリスクにもかかわらず、モデルシリアライゼーションプロトコルとしてピクルを採用し続けている。 オープンソースのモデルエコシステムが成長するにつれて、Hugging Faceのようなモデル共有プラットフォームは大きな参加を集め、ピクルス搾取の現実的なリスクを著しく増幅し、モデルサプライチェーンの中毒に対する新たな道を開いた。 有毒なモデルを検出するためにいくつかの最先端のスキャナが開発されているが、それらの有害な表面に対する不完全な理解は、検出ロジックの脆弱さを残し、攻撃者がそれらをバイパスすることを可能にする。 本研究は, モデル負荷とリスク関数の両方の観点から, ピクルス系モデル中毒面のシステマティックな開示を初めて行ったものである。 我々の研究は、ピクルスベースのモデル中毒がステルス性を維持し、現在のスキャンソリューションにおける重要なギャップを浮き彫りにすることを示した。 モデルローディング面では、5つの基本的AI/MLフレームワークにまたがる22のピクルスベースのモデルローディングパスを特定します。 さらに、例外指向プログラミング(EOP)と呼ばれるバイパス技術を開発し、9つのEOPインスタンスを発見し、そのうち7つはすべてのスキャナをバイパスすることができる。 危険機能表面では、133個の悪用可能なガジェットを発見し、100%のバイパス率を達成した。 最高性能のスキャナーと比較しても、これらのガジェットは89%のバイパスレートを維持している。 ピクルスモデル中毒表面を体系的に明らかにすることにより、実世界のスキャナーに対する実用的で堅牢なバイパスを実現する。 当社は、当社の調査結果を対応するベンダーに開示し、承認と6000ドルのバグ報奨金を受け取りました。

関連論文リスト

• PickleBall: Secure Deserialization of Pickle-based Machine Learning Models [26.348088852679307]
  バッドアクターは、妥協された機械学習モデルを通じてマルウェアを配信することができる。 マシンラーニングエンジニアは、透過的な安全なロードを提供するツールが必要です。 我々は、機械学習エンジニアがピクルスベースのモデルを安全にロードするのを助けるために、PickleBallを紹介します。
  論文  参考訳（メタデータ） (2025-08-21T22:14:45Z)
• POISONCRAFT: Practical Poisoning of Retrieval-Augmented Generation for Large Language Models [4.620537391830117]
  大型言語モデル(LLM)は幻覚の影響を受けやすいため、誤った結果や誤解を招く可能性がある。 Retrieval-augmented Generation (RAG) は、外部知識源を活用することで幻覚を緩和する有望なアプローチである。 本稿では,POISONCRAFTと呼ばれるRAGシステムに対する中毒攻撃について検討する。
  論文  参考訳（メタデータ） (2025-05-10T09:36:28Z)
• Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
  新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。 拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。 MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
  論文  参考訳（メタデータ） (2024-05-01T12:03:39Z)
• Model X-ray:Detecting Backdoored Models via Decision Boundary [62.675297418960355]
  バックドア攻撃はディープニューラルネットワーク(DNN)に重大な脆弱性をもたらす 図形化された2次元(2次元)決定境界の解析に基づく新しいバックドア検出手法であるモデルX線を提案する。 提案手法は,クリーンサンプルが支配する意思決定領域とラベル分布の集中度に着目した2つの戦略を含む。
  論文  参考訳（メタデータ） (2024-02-27T12:42:07Z)
• MOVE: Effective and Harmless Ownership Verification via Embedded External Features [104.97541464349581]
  本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。 我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。 次に、メタ分類器をトレーニングして、モデルが被害者から盗まれたかどうかを判断します。
  論文  参考訳（メタデータ） (2022-08-04T02:22:29Z)
• Defending against Model Stealing via Verifying Embedded External Features [90.29429679125508]
  トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。 我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。 本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
  論文  参考訳（メタデータ） (2021-12-07T03:51:54Z)
• EX-RAY: Distinguishing Injected Backdoor from Natural Features in Neural Networks by Examining Differential Feature Symmetry [20.62635238886276]
  バックドア攻撃は、トリガーに埋め込まれた入力が攻撃者が望むターゲットラベルに誤分類されるようなモデルに悪意のある振る舞いを注入する。 2つのクラスを分離する最小の機能集合を識別する新しい対称特徴差分法を開発した。 我々は、TrojAIラウンド2-4とImageNet上のいくつかのモデルから、クリーンモデルとトロイの木馬モデルの両方を含む何千ものモデル上の技術を評価します。
  論文  参考訳（メタデータ） (2021-03-16T03:07:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。