SUPERSQUALO
Dizionario IA

AI Supply Chain Attack

[èi-ai sàpplai cèin atàck]

Attacco alla catena di fornitura dell'IA: compromissione di modelli, dataset, librerie, plugin che vengono poi usati a valle. Impatto a cascata su tutti gli utilizzatori.

L'AI supply chain attack è un attacco mirato a compromettere uno o più anelli della catena di fornitura dell'IA: modelli pre-addestrati, dataset, librerie software, plugin, agenti, registry. Un singolo punto compromesso può propagare il danno a migliaia di utilizzatori a valle.

Anelli vulnerabili:

  • Modelli pre-addestrati: scaricati da Hugging Face, GitHub, registry vari.
  • Training dataset: dati pubblici (Common Crawl, LAION) o curati.
  • Librerie ML: PyTorch, TensorFlow, transformers, dipendenze pip/npm.
  • Plugin / extension: per ChatGPT, Claude, Copilot.
  • Tool agentic: function/tool che agenti chiamano.
  • Cloud infrastructure: AWS, GCP, Azure dove i modelli girano.
  • Hardware: GPU compromesse, firmware.

Tipi di attacco:

  • Model backdoor / trojan: modello che si comporta normalmente ma reagisce malevolmente a trigger specifici. Vedi paper "Sleeper Agents" Anthropic 2024.
  • Data poisoning: inserire esempi malevoli nel training data perché il modello impari comportamenti desiderati.
  • Typosquatting: pubblicare librerie con nomi simili a librerie famose ma con codice malevolo (es. tensorfllow invece di tensorflow).
  • Compromised registry: account Hugging Face hacked che pubblica modelli backdoorati.
  • Dependency confusion: package manager che scarica versione malevola da public registry.
  • Plugin compromise: plugin third-party che leggono prompt e li exfiltrano.

Casi reali:

  • Hugging Face malicious models (2024): JFrog ha trovato 100+ modelli su HF che eseguivano codice malevolo al caricamento (pickle exploits).
  • PyPI / npm typosquatting: ricorrente, decine di pacchetti scoperti ogni anno.
  • ComfyUI plugins (2024): plugin malevoli per workflow Stable Diffusion che rubavano credenziali.
  • Stable Diffusion model files: alcuni .ckpt e .safetensors hanno contenuto codice eseguibile.
  • Replicate / Modal: piattaforme di hosting con vulnerabilità che esponevano API key utenti.

Mitigazioni:

  • Verificare provenienza: usare modelli da publisher verificati, non random account.
  • Format sicuri: .safetensors al posto di .pickle/.ckpt (no code execution).
  • Scanning automatico: tool che analizzano modelli per backdoor (Protect AI, Trail of Bits).
  • SBOM (Software Bill of Materials): tracciare tutte le dipendenze.
  • Sandboxing: eseguire modelli in ambienti isolati.
  • Pinning di versioni: lock-in di hash specifici, non latest.
  • Code signing: verificare firme digitali.

Quadro normativo:

  • L'AI Act richiede gestione del rischio della supply chain per sistemi ad alto rischio.
  • NIS2 (UE) impone cybersecurity supply chain.
  • NIST SSDF (Secure Software Development Framework).

Per le aziende che integrano IA: la supply chain è spesso il punto debole. Auditare seriamente i fornitori, le librerie, i modelli che usate. Un model backdoor scaricato da Hugging Face e deployato in produzione è una porta aperta nel cuore del vostro sistema.

Pasqualino direbbe: "Pure il modello te lo devi controllà come 'a verdura ar mercato. Sennò dopo te ritrovi 'a sorpresa dentro 'l minestrone".