BPF 技术保护 PyTorch 模型安全
使用 eBPF 保护 PyTorch 模型安全
评估不安全的代码
在现代软件开发中,向代码库添加新库可能存在风险。我们缺乏对软件包行为的清晰认知,导入的包可能在不知情的情况下操纵环境。
以 HuggingFace 为例,存储库通常存储模型的 PyTorch 定义(Python 代码)。我们依赖星标作为可信度指标,但这应该改变——星标往往只是书签,很少有人会真正审查代码。
Pickle 协议与供应链攻击
Pickle 协议是许多主要框架(包括 Python 多处理)的基础构建块,但其设计存在漏洞:
复制代码
PyTorch 沙箱示例
1. 运行基础示例
使用 PyTorch 官方文档中的多项式回归示例:
复制代码
2. 创建安全沙箱
使用 secimport 跟踪代码并构建沙箱策略:
复制代码
该过程会创建 YAML/JSON 策略文件,映射每个模块允许的系统调用。
3. 在沙箱中运行代码
复制代码
4. 测试安全防护
向代码中注入恶意命令:
复制代码
secimport 会检测到违规行为并记录:
复制代码
代码执行防护
使用以下标志实现主动防护:
--stop_on_violation: 在违规时停止进程--kill_on_violation: 在违规时终止进程
复制代码
结论
secimport 使 Python 用户能够以不同权限和规则限制代码中的各个模块。通过 eBPF 技术,我们可以将 Torch 模型运行时一直保护到内核系统调用级别,为生产环境提供强有力的安全保护。
参考资料
Part 1: 代码中的Python模块沙箱化
Part 3: 使用eBPF保护FastAPI
源代码和示例: https://github.com/avilum/secimport更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码
办公AI智能小助手
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论