necst/security-model-sharing

# Artifact 评估包 本代码库包含以下论文的完整 Artifact 包： **“On the (In)Security of Loading Machine Learning Models”** *(原标题：“When Secure Isn’t: Assessing the Security of Machine Learning Model Sharing”)* (IEEE S&P 2026)。 该包旨在从三个维度支持 Artifact 评估： - **可用性**：包含原始数据、脚本、notebook、PoC 和模型 Artifact。 - **可复现性**：结果可以基于提供的 Artifact 重新计算（调查统计/测试、图表和 PoC 执行）。 - **功能性**：脚本和 PoC 按预期运行并产生预期的输出。 ## 文件夹与论文章节/结果的映射 ### 1) 漏洞 PoC - 文件夹：`vulnerabilities/` - 论文映射： - `KV1`, `KV2`, `KV3` → **第 4.1 节** - `SV1`, `SV2`, `SV3` → **第 4.2 节** - 目标：PoC 在模型加载时实现任意代码执行，尽管存在框架级的安全措施（例如 Keras `safe_mode`），成功标志是在加载期间生成 `/bin/sh`。 每个漏洞子文件夹包括： - 包含说明的 `README.md`， - `report.md` 快照， - `docker/` 环境， - 以及 PoC Artifact/脚本。 ### 2) Hugging Face 扫描实验 - 文件夹：`HF_experiments/` - 论文映射： - **第 4.3 节**，**表 3** - 目标：提供用于 Hugging Face 测试的所有 PoC Artifact 的可用性。 ### 3) 调查分析 - 文件夹：`survey/` - 论文映射： - **第 5 节 (UP2)** - 目标：提供的原始响应和分析 Artifact 能够复现报告中调查的统计数据、图表和 Wilcoxon 感知转变结果。 - 包含： - 原始调查 CSV， - 调查表副本， - 分析/绘图脚本， - notebook 版本， - Wilcoxon 感知转变测试 notebook。 ### 4) Keras 版本采用研究 - 文件夹：`version_adoption_keras/` - 论文映射： - **附录 B**，**图 2** - 目标：提供的查询输出和绘图 Artifact 重新生成图 2 中显示的相同 Keras 版本采用趋势。 - 包含： - BigQuery SQL 查询， - 原始 CSV 导出， - 用于重新生成图表的脚本和 notebook。 ## 报告和更新 - 每个漏洞文件夹都包含论文评审时的报告快照。 - 更新追踪于： [https://github.com/io-no/CVE-Reports](https://github.com/io-no/CVE-Reports) ## 联系方式 如有疑问、澄清或合作咨询： - Gabriele Digregorio — [gabriele.digregorio@polimi.it](mailto:gabriele.digregorio@polimi.it) - Marco Di Gennaro — [marco.digennaro@polimi.it](mailto:marco.digennaro@polimi.it) - Stefano Zanero — [stefano.zanero@polimi.it](mailto:stefano.zanero@polimi.it) - Stefano Longari — [stefano.longari@polimi.it](mailto:stefano.longari@polimi.it) - Michele Carminati — [michele.carminati@polimi.it](mailto:michele.carminati@polimi.it)

标签：adversarial machine learning, AI模型反序列化, CISA项目, Docker环境, Hugging Face, IEEE S&P, IEEE S&P 2026, Keras安全, NoSQL, PoC漏洞利用, 任意代码执行, 凭据扫描, 反取证, 后门攻击, 学术论文复现, 安全评估, 密钥泄露防护, 机器学习安全, 模型加载漏洞, 深度学习框架, 请求拦截, 调查问卷分析, 逆向工具