近日,科技領域發(fā)生了一起針對人工智能模型的供應鏈攻擊事件,目標直指Ultralytics公司的YOLOv11模型。據(jù)悉,該攻擊在12月6日由科技媒體techtarget率先曝光,指出YOLOv11的兩個具體版本——v8.3.41和v8.3.42,被不法分子植入了加密挖礦軟件。
面對這一突發(fā)情況,Ultralytics公司迅速采取了行動,盡管截至報道發(fā)出時,公司尚未發(fā)布正式的安全公告,但已經(jīng)悄然移除了受影響的兩個版本,并緊急推出了新版本,以減輕用戶可能遭受的風險。
事件的發(fā)現(xiàn)者是一位名為metrizable的開發(fā)者,他在對比Ultralytics在PyPI的包與其GitHub存儲庫時,敏銳地察覺到了異常代碼的存在。隨后,他在GitHub上發(fā)布了帖子,詳細報告了這一可疑活動,引起了業(yè)界的廣泛關注。
緊接著,Ultralytics團隊中的一名成員,名為“Skillnoob”的開發(fā)者,對metrizable的報告作出了回應。他不僅確認了PyPI軟件包已被入侵的事實,還指出v8.3.42版本同樣存在問題,并緊急呼吁用戶盡快卸載v8.3.41版本。
在確認問題后,Ultralytics迅速從PyPI中撤下了v8.3.41和v8.3.42兩個版本,并公開聲明v8.3.40及更早版本是安全的,用戶可以繼續(xù)使用。這一舉措旨在穩(wěn)定用戶情緒,同時減少潛在的安全隱患。
Ultralytics的首席執(zhí)行官Glenn Jocher隨后發(fā)表聲明,指出問題源于pypi部署工作流程中的惡意代碼注入。他表示公司已暫停自動部署流程,并全面展開調(diào)查,以徹底查明事件原因并防止類似事件再次發(fā)生。
為了盡快恢復用戶的信任,Ultralytics緊接著發(fā)布了YOLO的v8.3.43和v8.3.44版本,聲稱已經(jīng)解決了所有已知的安全問題。然而,對于此次攻擊事件的具體細節(jié)和后續(xù)影響,公司并未公開透露更多信息。
Ultralytics YOLO系列模型作為業(yè)界領先的視覺人工智能解決方案,一直以其高效和易用性著稱。YOLO(You Only Look Once)系統(tǒng)作為實時目標檢測領域的佼佼者,Ultralytics不斷推陳出新,從YOLOv5到YOLOv8,再到最新的YOLOv11,每一次迭代都帶來了性能和功能的顯著提升。然而,此次事件也提醒了所有使用者和開發(fā)者,即使是最先進的AI模型,在面對復雜的網(wǎng)絡威脅時,也需要時刻保持警惕。
