SleeplyPickle.pdf

Sleepy Pickle💤🥒 用想睡的醃黃瓜去餵AI模型鹹到他腦袋短路

> ID : yunshiuan WHO AM I

Outline > What is Pickle ? > What wrong with
Pickle? > Sleepy Pickle > How to Prevent?

Pickle What is Pickle?

Pickle > Python 的模組 > 提供 Python 物件序列化和反序列化的功能 > 主要
用途：將物件儲存到檔案中，方便之後載入

Pickle-Demo

Pickle What wrong with Pickle?

Python-Pickle.py https://docs.python.org/3.13/library/pickle.html

Return to the Previous Example 使用 Pickletools 將pkl的內容印出來

Pickle VM > Instruction Processor(指令處理器) > Stack (堆疊) > Memo
(備忘錄)

Pickle Opcode > p : 將資料給Memo紀錄 > V / INT/…
創造資料進入stack > …

如何利用 Sleepy Pickle

__reduce__ > __reduce__在Pickle反序列化時會自動被呼叫，並且自動執行回傳的參數

__reduce__ 使用 Pickletools 將pkl的內容印出來

__reduce__ > c : 引入模組並且放進stack > R : 將stack 上的兩個資料pop出stack
並且執行他們，結果push 回stack

__reduce__

__reduce__ 達成我們想要執行的惡意指令

想睡覺的酸黃瓜 Sleepy Pickle

Sleepy Pickle > 利用 pickle不安全的特性，將惡意的Bytecode植入使用 pickle的模型檔案內。

How to implement? > 有一個針對此攻擊而產生
的工具：ficking https://github.com/trailofbits/fickling

How to implement?

Hugging face

Pytorch_model.bin > PyTorch中的torch.save 函數所生成的二進位檔案 > 存模型的
weights, biases, 或者其他parameters > 可以用 zip 解壓縮

Pytorch_model.bin

Sleepy pickle 小總結 > 可以對一個使用 Pickle序列化的AI模型植入惡意
行為或著修改參數

Sleepy pickle 有什麼危害

Harmful outputs and spreading disinformation > 情境：現在有一個基於GPT 2-XL的醫療模型，功能是使
用者講出自身的症狀，模型會回覆使用者建議治療的方式 > 如：Human : 我有發燒，我該怎麼做。AI : 多喝熱水

Harmful outputs and spreading disinformation > 使用到Rank One
Model Editing(ROME)，在保持正常問答功能之外修改特定關聯的權重

Phishing users

Others… > 埋後門 > XSS > 竊取使用者資料
> 竄改資料 > ……

How to Prevent Sleepy Pickle

How to Prevent > 不要使用 Pickle，使用 SafeTensors. >
如果一定要使用 Pickle，需要使用 fickling對pickle進行掃描或者限制unpickler

Thanks

SleeplyPickle.pdf

SleeplyPickle.pdf

CHOU,YUNSHIUAN

Other Decks in Research

Featured

Transcript

Sleepy Pickle💤🥒 用想睡的醃黃瓜去餵AI模型鹹到他腦袋短路

> ID : yunshiuan WHO AM I

Outline > What is Pickle ? > What wrong with

Pickle What is Pickle?

Pickle > Python 的模組 > 提供 Python 物件序列化和反序列化的功能 > 主要

Pickle-Demo

Pickle What wrong with Pickle?

Python-Pickle.py https://docs.python.org/3.13/library/pickle.html

Return to the Previous Example 使用 Pickletools 將pkl的內容印出來

Pickle VM > Instruction Processor(指令處理器) > Stack (堆疊) > Memo

Pickle Opcode > p : 將資料給Memo紀錄 > V / INT/…

如何利用 Sleepy Pickle

reduce > reduce在Pickle反序列化時會自動被呼叫，並且自動執行回傳的參數

reduce 使用 Pickletools 將pkl的內容印出來

reduce > c : 引入模組並且放進stack > R : 將stack 上的兩個資料pop出stack

reduce

reduce 達成我們想要執行的惡意指令

想睡覺的酸黃瓜 Sleepy Pickle

Sleepy Pickle > 利用 pickle不安全的特性，將惡意的Bytecode植入使用 pickle的模型檔案內。

How to implement? > 有一個針對此攻擊而產生

How to implement?

Hugging face

Pytorch_model.bin > PyTorch中的torch.save 函數所生成的二進位檔案 > 存模型的

Pytorch_model.bin

Sleepy pickle 小總結 > 可以對一個使用 Pickle序列化的AI模型植入惡意

Sleepy pickle 有什麼危害

Harmful outputs and spreading disinformation > 情境：現在有一個基於GPT 2-XL的醫療模型，功能是使

Harmful outputs and spreading disinformation > 使用到Rank One

Phishing users

Others… > 埋後門 > XSS > 竊取使用者資料

How to Prevent Sleepy Pickle

How to Prevent > 不要使用 Pickle，使用 SafeTensors. >

Thanks