論文の概要: SafePickle: Robust and Generic ML Detection of Malicious Pickle-based ML Models

• arxiv url: http://arxiv.org/abs/2602.19818v1
• Date: Mon, 23 Feb 2026 13:19:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-24 17:42:02.824224
• Title: SafePickle: Robust and Generic ML Detection of Malicious Pickle-based ML Models
• Title（参考訳）: SafePickle: 不正ピクルスに基づくMLモデルのロバストおよびジェネリックML検出
• Authors: Hillel Ohayon, Daniel Gilkarov, Ran Dubin,
• Abstract要約: Hugging Faceのようなモデルリポジトリは、Pythonのピクルスフォーマットでシリアライズされた機械学習アーティファクトを配布する傾向にある。 PickleBallのような最近の防衛は、複雑なシステムセットアップと検証された良性モデルを必要とするライブラリごとのポリシー合成に依存している。 ポリシー生成やコードインスツルメンテーションなしに悪意のあるPickleベースのファイルを検出する軽量な機械学習ベースのスキャナを提案する。
• 参考スコア（独自算出の注目度）: 6.365889364810239
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Model repositories such as Hugging Face increasingly distribute machine learning artifacts serialized with Python's pickle format, exposing users to remote code execution (RCE) risks during model loading. Recent defenses, such as PickleBall, rely on per-library policy synthesis that requires complex system setups and verified benign models, which limits scalability and generalization. In this work, we propose a lightweight, machine-learning-based scanner that detects malicious Pickle-based files without policy generation or code instrumentation. Our approach statically extracts structural and semantic features from Pickle bytecode and applies supervised and unsupervised models to classify files as benign or malicious. We construct and release a labeled dataset of 727 Pickle-based files from Hugging Face and evaluate our models on four datasets: our own, PickleBall (out-of-distribution), Hide-and-Seek (9 advanced evasive malicious models), and synthetic joblib files. Our method achieves 90.01% F1-score compared with 7.23%-62.75% achieved by the SOTA scanners (Modelscan, Fickling, ClamAV, VirusTotal) on our dataset. Furthermore, on the PickleBall data (OOD), it achieves 81.22% F1-score compared with 76.09% achieved by the PickleBall method, while remaining fully library-agnostic. Finally, we show that our method is the only one to correctly parse and classify 9/9 evasive Hide-and-Seek malicious models specially crafted to evade scanners. This demonstrates that data-driven detection can effectively and generically mitigate Pickle-based model file attacks.
• Abstract（参考訳）: Hugging Faceのようなモデルリポジトリは、Pythonのピクルフォーマットにシリアライズされた機械学習アーティファクトを配布し、モデルローディング中にリモートコード実行(RCE)のリスクにユーザをさらしている。 PickleBallのような最近の防衛は、複雑なシステムセットアップと検証された良性モデルを必要とするライブラリごとのポリシー合成に依存しており、スケーラビリティと一般化を制限している。 本研究では、ポリシー生成やコードインスツルメンテーションなしで悪意のあるピクルスベースのファイルを検出する軽量な機械学習ベースのスキャナを提案する。 我々のアプローチでは、Pickleバイトコードから構造的および意味的特徴を静的に抽出し、教師なしおよび教師なしのモデルを適用して、ファイルの良さや悪意を分類する。 私たちはHugging Faceから727個のピクルスベースのファイルのラベル付きデータセットを構築してリリースし、当社独自の4つのデータセット、PickleBall(配布外)、Hide-and-Seek(高度な回避悪意のある9つのモデル)、および合成ジョブリファイルでモデルを評価します。 提案手法は、データセット上のSOTAスキャナ(Modelscan, Fickling, ClamAV, VirusTotal)が達成した7.23%-62.75%と比較して90.01%のF1スコアを達成する。 さらに、PickleBallデータ(OOD)では、PickleBallメソッドの76.09%と比較して81.22%のF1スコアを達成するが、完全なライブラリに依存しないままである。 最後に、スキャナーを回避するために特別に作られた悪質モデル9/9を正しく解析し分類する唯一の方法であることを示す。 このことは、データ駆動検出がピクルスベースのモデルファイル攻撃を効果的に、そして、汎用的に軽減できることを示している。

関連論文リスト

• The Art of Hide and Seek: Making Pickle-Based Model Supply Chain Poisoning Stealthy Again [20.465399295834306]
  本報告では, モデル負荷とリスク関数の両方の観点から, ピクルス系モデル中毒面のシステマティックな開示を行う。 我々の研究は、ピクルスベースのモデル中毒がステルス性を維持し、現在のスキャンソリューションにおける重要なギャップを浮き彫りにすることを示した。
  論文  参考訳（メタデータ） (2025-08-27T10:59:34Z)
• PickleBall: Secure Deserialization of Pickle-based Machine Learning Models (Extended Report) [26.348088852679307]
  バッドアクターは、妥協された機械学習モデルを通じてマルウェアを配信することができる。 マシンラーニングエンジニアは、透過的な安全なロードを提供するツールが必要です。 我々は、機械学習エンジニアがピクルスベースのモデルを安全にロードするのを助けるために、PickleBallを紹介します。
  論文  参考訳（メタデータ） (2025-08-21T22:14:45Z)
• Crucial-Diff: A Unified Diffusion Model for Crucial Image and Annotation Synthesis in Data-scarce Scenarios [65.97836905826145]
  医療、産業、自動運転といったさまざまなシナリオにおけるデータの不足は、モデルの過度な適合とデータセットの不均衡につながる。 重要なサンプルを合成するドメインに依存しないフレームワークであるCrucial-Diffを提案する。 我々のフレームワークは多様な高品質なトレーニングデータを生成し、ピクセルレベルのAPは83.63%、F1-MAXは78.12%である。
  論文  参考訳（メタデータ） (2025-07-14T04:41:38Z)
• Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
  本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。 ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。 本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
  論文  参考訳（メタデータ） (2023-12-10T16:14:02Z)
• CrowdGuard: Federated Backdoor Detection in Federated Learning [39.58317527488534]
  本稿では,フェデレートラーニングにおけるバックドア攻撃を効果的に軽減する新しい防御機構であるCrowdGuardを提案する。 CrowdGuardでは、サーバロケーションのスタック化されたクラスタリングスキームを使用して、クライアントからのフィードバックに対するレジリエンスを高めている。 評価結果は、CrowdGuardがさまざまなシナリオで100%正の正の正の正の負の負の負の値を達成することを示す。
  論文  参考訳（メタデータ） (2022-10-14T11:27:49Z)
• CARLA-GeAR: a Dataset Generator for a Systematic Evaluation of Adversarial Robustness of Vision Models [61.68061613161187]
  本稿では,合成データセットの自動生成ツールであるCARLA-GeARについて述べる。 このツールは、Python APIを使用して、CARLAシミュレータ上に構築されており、自律運転のコンテキストにおいて、いくつかのビジョンタスク用のデータセットを生成することができる。 本稿では,CARLA-GeARで生成されたデータセットが,現実世界の敵防衛のベンチマークとして今後どのように利用されるかを示す。
  論文  参考訳（メタデータ） (2022-06-09T09:17:38Z)
• Defending against Model Stealing via Verifying Embedded External Features [90.29429679125508]
  トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。 我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。 本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
  論文  参考訳（メタデータ） (2021-12-07T03:51:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。