PickleBall: Secure Deserialization of Pickle-based Machine Learning Models
2508.15987v1
cs.CR, cs.LG
2025-08-26
Авторы:
Andreas D. Kellas, Neophytos Christou, Wenxin Jiang, Penghui Li, Laurent Simon, Yaniv David, Vasileios P. Kemerlis, James C. Davis, Junfeng Yang
Резюме на русском
#### Контекст
Machine learning model repositories, такие как Hugging Face Model Hub, обеспечивают широкую эксплуатацию моделей машинного обучения. Однако вредоносные акторы могут использовать эти репозитории для распространения вредоносного кода через загруженные модели. Существующие меры защиты, такие как безопасные форматы моделей, ограниченные (но неэффективные) политики загрузки и сканеры моделей, имеют существенные недостатки. Например, 44,9% популярных моделей на Hugging Face все еще используют небезопасный формат pickle, 15% из них не могут быть загружены ограничивающими политиками, и сканеры моделей не только дают ложноположительные, но и ложные отрицательные результаты. Хотя pickle остается доминирующим форматом для обмена моделями, комьюнити машинного обучения не имеет транспарентного и эффективного средства для безопасной загрузки таких моделей.
#### Метод
PickleBall предлагает безопасное загрузка pickle-based моделей, используя статический анализ исходного кода машинного обучения библиотек. Эта библиотека строит политики загрузки, которые определяют безопасное поведение модели во время загрузки. PickleBall динамически применяет эти политики во время загрузки, действуя как замена модулю pickle. Оно было разработано для того, чтобы генерировать политики, которые корректно загружают 79,8% безопасных pickle-based моделей в нашем наборе данных, при этом блокируя 100% вредоносных примеров. В сравнении с модельными сканерами, которые не могут выявить известные вредоносные модели, и состоящими стандартом лоадерами, которые загружают 22% меньше безопасных моделей, PickleBall снижает угрозу от случайных функциональных вызовов и повышает порог для атак, заставляя вредоносных акторов полагаться на технологии кода-реюз.
#### Результаты
В нашем эксперименте мы сравнили PickleBall с другими фреймворками для загрузки моделей. PickleBall стабильно определяет и блокирует все вредоносные модели, достигая 100% точности в определении. Напротив, сканеры моделей пропускают известные вредоносные модели, и стандартные лоадеры показывают меньшую эффективность при загрузке безопасных моделей. Эти результаты подтверждают эффективность PickleBall в гарантировании безопасной загрузки pickle-based моделей.
#### Значимость
PickleBall может применяться в любых системах, использующих pickle для обмена моделями, таких как облачные сервисы, легковесные модели и модели речевого распознавания. Он обеспечивает значительный прирост безопасности, устраняя риск нежелательного выполнения вредоносного кода. В долгосрочной перспективе, PickleBall может стать стандартом для безопасной загрузки pickle-based моделей, повышая надежность моделей и уменьшая риск для пользователей.
#### Выводы
PickleBall я
Abstract
Machine learning model repositories such as the Hugging Face Model Hub
facilitate model exchanges. However, bad actors can deliver malware through
compromised models. Existing defenses such as safer model formats, restrictive
(but inflexible) loading policies, and model scanners have shortcomings: 44.9%
of popular models on Hugging Face still use the insecure pickle format, 15% of
these cannot be loaded by restrictive loading policies, and model scanners have
both false positives and false negatives. Pickle remains the de facto standard
for model exchange, and the ML community lacks a tool that offers transparent
safe loading.
We present PickleBall to help machine learning engineers load pickle-based
models safely. PickleBall statically analyzes the source code of a given
machine learning library and computes a custom policy that specifies a safe
load-time behavior for benign models. PickleBall then dynamically enforces the
policy during load time as a drop-in replacement for the pickle module.
PickleBall generates policies that correctly load 79.8% of benign pickle-based
models in our dataset, while rejecting all (100%) malicious examples in our
dataset. In comparison, evaluated model scanners fail to identify known
malicious models, and the state-of-art loader loads 22% fewer benign models
than PickleBall. PickleBall removes the threat of arbitrary function invocation
from malicious pickle-based models, raising the bar for attackers to depend on
code reuse techniques.
Ссылки и действия
Дополнительные ресурсы: