近期，網絡安全領域曝出一起新穎且引人關注的事件。據知名安全資訊平臺The Hacker News報道，HuggingFace平臺上驚現兩個采用非常規技術的惡意機器學習模型，這些模型利用“受損”的pickle文件，巧妙地繞過了常規的安全檢測機制。

ReversingLabs的安全研究員Karlo Zanki深入剖析了這兩個模型，揭示了其中的奧秘。他指出，從PyTorch存檔中提取的pickle文件，在文件頭部竟隱藏著惡意的Python代碼。這些惡意載荷是典型的平臺特定反向shell，旨在連接到預設的硬編碼IP地址。

這種創新性的攻擊手法被命名為nullifAI，其核心在于刻意規避現有的安全防護措施，以避免被識別為潛在的惡意模型。據悉，受影響的兩個Hugging Face模型存儲庫分別為glockr1/ballr7和who-r-u0000/一串冗長的零。

安全專家普遍認為，這些模型更像是概念驗證（PoC）的實例，而非真實的供應鏈攻擊案例。盡管如此，這一事件仍然引發了業界對機器學習模型分發中潛在安全漏洞的高度關注。

pickle序列化格式在機器學習領域的應用頗為廣泛，然而，其安全隱患也不容忽視。由于pickle允許在加載和反序列化時執行任意代碼，因此一直是安全領域的一個潛在風險點。

此次事件中，被檢測出的兩個模型采用了PyTorch格式，但實質上卻是壓縮的pickle文件。值得注意的是，這些模型并未使用PyTorch默認的ZIP格式壓縮，而是選擇了7z格式。這一不同尋常的壓縮方式，使得它們成功避開了Hugging Face的Picklescan工具的惡意檢測。

Zanki進一步分析指出，這些pickle文件的一個獨特之處在于，對象序列化在惡意載荷執行后會中斷，導致無法正確反編譯對象。這一設計，無疑增加了安全檢測的難度。

然而，后續的安全分析卻揭示了一個驚人的事實：盡管存在反序列化錯誤，這些受損的pickle文件仍然能夠被部分反序列化，并成功執行惡意代碼。這一發現，無疑為機器學習模型的安全性敲響了警鐘。

值得慶幸的是，這一問題已經得到了及時的修復。Picklescan工具也已經更新了版本，以應對此類新型攻擊手法。此次事件，再次提醒我們，在機器學習模型的分發和使用過程中，必須時刻保持警惕，加強安全防護措施。