空間秘密洩露披露

本週早些時候，我們的團隊檢測到對 Spaces 平臺（特別是與 Spaces 秘密相關的部分）的未經授權訪問。因此，我們懷疑部分 Spaces 秘密可能已被未經授權地訪問。

作為補救措施的第一步，我們已撤銷這些秘密中存在的許多 HF 令牌。令牌已被撤銷的使用者已收到電子郵件通知。我們建議您更新所有金鑰或令牌，並考慮將您的 HF 令牌切換到細粒度訪問令牌，這是新的預設設定。

我們正在與外部網路安全取證專家合作，調查此問題並審查我們的安全政策和程式。

在過去幾天中，我們對 Spaces 基礎設施的安全性進行了其他重大改進，包括完全移除組織令牌（從而提高了可追溯性和審計能力）、為 Spaces 秘密實施金鑰管理服務 (KMS)、強化並擴充套件我們系統識別洩露令牌並主動使其失效的能力，以及更普遍地全面改進我們的安全性。我們還計劃在不久的將來完全廢棄“經典”讀寫令牌，一旦細粒度訪問令牌達到功能對等。我們將繼續調查任何可能的相關事件。

最後，我們還已向執法機構和資料保護機構報告了此事件。

我們對此次事件可能造成的干擾深感遺憾，並理解其可能給您帶來的不便。我們承諾以此為契機，加強我們整個基礎設施的安全性。如有任何疑問，請透過 security@huggingface.co 聯絡我們。