{"id":156660,"date":"2025-09-03T08:06:54","date_gmt":"2025-09-03T15:06:54","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=156660"},"modified":"2025-09-11T09:58:48","modified_gmt":"2025-09-11T16:58:48","slug":"model-namespace-reuse","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/model-namespace-reuse\/","title":{"rendered":"T\u00e9cnica de reutilizaci\u00f3n del espacio de nombres del modelo: mal uso de un aspecto fundamental de la cadena de suministro de la IA"},"content":{"rendered":"

<\/a>Resumen ejecutivo<\/h2>\n

Nuestra investigaci\u00f3n revel\u00f3 una vulnerabilidad fundamental en la cadena de suministro de IA que permite a los atacantes obtener Ejecuci\u00f3n Remota de C\u00f3digo (RCE, por sus siglas en ingl\u00e9s) y capacidades adicionales en plataformas principales como Azure AI Foundry de Microsoft, Vertex AI de Google y miles de proyectos de c\u00f3digo abierto. Nos referimos a este problema como Reutilizaci\u00f3n de Espacios de Nombres de Modelos (Model Namespace Reuse<\/em>).<\/p>\n

Hugging Face es una plataforma que permite a los desarrolladores de IA crear, compartir e implementar modelos y conjuntos de datos (datasets<\/em>). En dicha plataforma, los espacios de nombres (namespaces<\/em>) son los identificadores de los modelos, los cuales son repositorios de Git almacenados en el hub de Hugging Face. Los modelos de Hugging Face contienen configuraciones, pesos, c\u00f3digo e informaci\u00f3n para que los desarrolladores puedan utilizarlos.<\/p>\n

La reutilizaci\u00f3n de espacios de nombres de modelos ocurre cuando los cat\u00e1logos de modelos de un proveedor de nube o el propio c\u00f3digo recuperan un modelo eliminado o transferido bas\u00e1ndose en su nombre. Al volver a registrar un espacio de nombres abandonado y recrear su ruta original, los actores maliciosos pueden atacar las canalizaciones (pipelines<\/em>) que implementan modelos bas\u00e1ndose \u00fanicamente en su nombre. Esto potencialmente permite a los atacantes implementar modelos maliciosos y obtener capacidades de ejecuci\u00f3n de c\u00f3digo, entre otros impactos.<\/p>\n

Aunque hemos realizado una divulgaci\u00f3n responsable de este hallazgo a Google, Microsoft y Hugging Face, el problema de fondo sigue siendo una amenaza para cualquier organizaci\u00f3n que obtenga modelos bas\u00e1ndose \u00fanicamente en su nombre. Este descubrimiento demuestra que confiar en los modelos solo por su nombre es insuficiente y exige una reevaluaci\u00f3n cr\u00edtica de la seguridad en todo el ecosistema de IA.<\/p>\n

Las organizaciones pueden obtener ayuda para evaluar la postura de seguridad de la nube a trav\u00e9s de la Evaluaci\u00f3n de la seguridad en la nube de Unit\u00a042<\/a>.<\/p>\n

La Evaluaci\u00f3n de la seguridad de la IA de Unit\u00a042<\/a> puede ayudar a las organizaciones a potenciar el uso y el desarrollo seguros de la IA.<\/p>\n

Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n\n\n\n
Temas relacionados con Unit\u00a042<\/b><\/td>\nCadena de suministro<\/b><\/a>, GenAI<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>Explicaci\u00f3n de la reutilizaci\u00f3n del espacio de nombres del modelo<\/h2>\n

Es esencial comprender c\u00f3mo Hugging Face organiza e identifica los modelos para entender la t\u00e9cnica de reutilizaci\u00f3n del espacio de nombres de los modelos. El recurso m\u00e1s com\u00fan en su plataforma es el modelo. Estos modelos son esencialmente repositorios Git que contienen configuraciones de modelos, ponderaciones y cualquier c\u00f3digo o informaci\u00f3n adicional que los desarrolladores y los investigadores puedan necesitar para utilizar los modelos con eficacia.<\/p>\n

<\/a>C\u00f3mo los desarrolladores obtienen modelos<\/h3>\n

Con fines de identificaci\u00f3n y acceso, los desarrolladores pueden referenciar y extraer modelos utilizando una convenci\u00f3n de nomenclatura en dos partes: Author\/ModelName<\/span>. En esta estructura, el componente Author<\/span> (Autor) representa al usuario o la organizaci\u00f3n de Hugging Face que public\u00f3 el modelo, mientras que ModelName<\/span> es el nombre del modelo.<\/p>\n

Por ejemplo, si AIOrg<\/span> public\u00f3 el modelo Translator_v1<\/span>, el nombre del modelo es AIOrg\/Translator_v1<\/span>. Los nombres de los autores sirven como identificadores \u00fanicos. Si ya existe un autor, no se puede crear uno nuevo con el mismo nombre.<\/p>\n

Los desarrolladores utilizan el identificador Author\/ModelName<\/span> directamente en su c\u00f3digo en varias bibliotecas de Hugging Face para obtener y utilizar modelos. Por ejemplo, los desarrolladores pueden utilizar el c\u00f3digo que se muestra en la Figura\u00a01 para obtener el modelo Translator_v1<\/span> de la biblioteca Transformers<\/span> de uso com\u00fan.<\/p>\n

\"Fragmento
Figura\u00a01. C\u00f3digo para obtener el modelo Translator_v1<\/span> de la biblioteca Transformers<\/span>.<\/figcaption><\/figure>\n

Esta estructura jer\u00e1rquica permite lograr una atribuci\u00f3n y una organizaci\u00f3n claras. Sin embargo, en ausencia de controles estrictos del ciclo de vida sobre estos espacios de nombres, esta estructura tambi\u00e9n crea una superficie de ataque inesperada.<\/p>\n

La t\u00e9cnica de reutilizaci\u00f3n del espacio de nombres del modelo aprovecha la forma en que Hugging Face gestiona los espacios de nombres Author\/ModelName<\/span> despu\u00e9s de que una organizaci\u00f3n o un autor eliminen su propia cuenta. Nuestra investigaci\u00f3n en este \u00e1mbito revel\u00f3 un aspecto cr\u00edtico: cualquiera puede volver a registrar un espacio de nombres eliminado.<\/p>\n

Cuando se elimina un usuario o una organizaci\u00f3n de Hugging Face, su espacio de nombres \u00fanico no deja de estar disponible de forma permanente. En su lugar, estos identificadores vuelven a una reserva de nombres disponibles, lo que le permite a otro usuario crear posteriormente una organizaci\u00f3n con el mismo nombre. Este proceso de reutilizaci\u00f3n se muestra en Caso de uso\u00a01: Vertex\u00a0AI<\/a>.<\/p>\n

<\/a>Supresi\u00f3n de la propiedad en Hugging Face<\/h3>\n

Considere la siguiente situaci\u00f3n hipot\u00e9tica de un modelo cuyo autor ha sido eliminado:<\/p>\n

La organizaci\u00f3n DentalAI<\/span> cre\u00f3 el modelo leg\u00edtimo toothfAIry<\/span>. El modelo puede analizar im\u00e1genes dentales y detectar con precisi\u00f3n caries y otras anomal\u00edas dentales. Su eficacia y facilidad de uso la convirtieron en una favorita de desarrolladores, investigadores dentales y profesionales de la salud. Con el tiempo, DentalAI\/toothfAIry<\/span> se integr\u00f3 en herramientas de diagn\u00f3stico, plataformas m\u00e9dicas e incluso repositorios de tecnolog\u00eda sanitaria de c\u00f3digo abierto.<\/p>\n

En alg\u00fan momento, sin embargo, los desarrolladores de DentalAI<\/span> eliminaron la organizaci\u00f3n de Hugging Face. Un actor malicioso se percat\u00f3 de ello y, para aprovecharse de la situaci\u00f3n, recre\u00f3 la organizaci\u00f3n DentalAI<\/span> y subi\u00f3 una versi\u00f3n comprometida del modelo toothfAIry<\/span> con el mismo nombre.<\/p>\n

Como resultado, todas las bases de c\u00f3digo y los conductos que todav\u00eda hacen referencia al modelo original ahora est\u00e1n en grave riesgo.<\/p>\n

Se podr\u00eda suponer que, mientras un nombre de modelo de confianza siga funcionando en su c\u00f3digo, no habr\u00e1 riesgo de reutilizaci\u00f3n maliciosa de ese espacio de nombres. Esto es un error de concepto. Sin que los desarrolladores sean conscientes, las bases de c\u00f3digo y los flujos podr\u00edan extraer e implementar la versi\u00f3n maliciosa. Los modelos maliciosos podr\u00edan dar lugar a una serie de resultados no deseados, desde diagn\u00f3sticos incorrectos hasta el acceso no autorizado continuo por parte de un atacante en los sistemas afectados.<\/p>\n

En la Figura\u00a02, se describen los pasos que se siguen en esta situaci\u00f3n hipot\u00e9tica.<\/p>\n

\"Secuencia
Figura 2. Visi\u00f3n general del flujo del vector de ataque.<\/figcaption><\/figure>\n

Otro posible vector de ataque se deriva de la forma en que Hugging Face gestiona la transferencia de propiedad de los modelos.<\/p>\n

<\/a>Transferencia de propiedad en Hugging Face<\/h3>\n

Hugging Face ofrece la posibilidad de cambiar el autor de un modelo transfiriendo la propiedad del propietario actual a otro. Esta transferencia resulta en un nuevo espacio de nombres para el modelo; por ejemplo, cambiar de AIOrg\/Translator_v1<\/span> a AIOrgNew\/Translator_v1<\/span>. Los usuarios pueden implementar el modelo utilizando este nuevo espacio de nombres. Sin embargo, el espacio de nombres original sigue siendo accesible para su implementaci\u00f3n.<\/p>\n

Cuando un usuario env\u00eda una solicitud al antiguo espacio de nombres, Hugging Face lo redirige autom\u00e1ticamente al nuevo espacio de nombres actual. Esta redirecci\u00f3n se aplica a todos los puntos de acceso, incluida la interfaz de usuario (UI), las API REST y los kits de desarrollo de software (SDK) comunes.<\/p>\n

Este comportamiento es l\u00f3gico e intencional. El objetivo de Hugging Face es garantizar que los flujos existentes sigan funcionando sin problemas, incluso despu\u00e9s de un cambio de espacio de nombres. Sin embargo, como se muestra en la situaci\u00f3n anterior, si el propietario del modelo original elimina su organizaci\u00f3n, el espacio de nombres vuelve a estar disponible para su registro.<\/p>\n

Si un actor malicioso registra el espacio de nombres, se rompe el mecanismo de redirecci\u00f3n, haciendo que el modelo comprometido tenga prioridad sobre el nuevo modelo leg\u00edtimo.<\/p>\n

Para explicar esta situaci\u00f3n hipot\u00e9tica, recurriremos de nuevo a la salud dental.<\/p>\n

Otra organizaci\u00f3n, Dentalligence<\/span>, adquiri\u00f3 DentalAI<\/span>. Como parte de la adquisici\u00f3n, DentalAI<\/span> transfiri\u00f3 todos sus modelos de IA a la organizaci\u00f3n Dentalligence<\/span>. Tras la transferencia, los administradores de DentalAI<\/span> borraron la organizaci\u00f3n original de Hugging Face, ya que hab\u00eda sido totalmente absorbida por Dentalligence<\/span>.<\/p>\n

Todos los modelos pertenecientes a DentalAI<\/span>, como DentalAI\/toothfAIry<\/span>, pasaron a ser accesibles a trav\u00e9s de nuevas rutas, como Dentalligence\/toothfAIry<\/span>. En aras de la continuidad, Hugging Face mantuvo las redirecciones de los antiguos espacios de nombres a los nuevos, lo que permit\u00eda a los usuarios acceder a los modelos sin actualizar su c\u00f3digo.<\/p>\n

Sin embargo, un actor malicioso se dio cuenta de que la organizaci\u00f3n DentalAI<\/span> original estaba disponible. El atacante registr\u00f3 una nueva organizaci\u00f3n con ese nombre y subi\u00f3 modelos maliciosos utilizando los mismos nombres que los que DentalAI<\/span> alojaba antes de la adquisici\u00f3n.<\/p>\n

Como los nombres originales de los modelos siguieron siendo v\u00e1lidos e implementables durante toda la transici\u00f3n, los usuarios no se enteraron del cambio. No encontraron tiempo de inactividad y no tuvieron que cambiar los nombres de los modelos en su c\u00f3digo. Por ejemplo, al solicitar la extracci\u00f3n del modelo DentalAI\/toothfAIry<\/span> se extrae autom\u00e1ticamente Dentalligence\/toothfAIry<\/span>. Como resultado, cuando el actor malicioso insertaba su versi\u00f3n utilizando los nombres originales, los usuarios, sin saberlo, empezaban a implementar las versiones maliciosas en lugar de los modelos de confianza que hab\u00edan integrado originalmente.<\/p>\n

<\/a>Comparaci\u00f3n de las situaciones hipot\u00e9ticas<\/h3>\n

En miles de proyectos de c\u00f3digo abierto existen espacios de nombres de modelos reutilizables codificados. Entre ellos se incluyen repositorios populares y con muchas estrellas, y repositorios que pertenecen a organizaciones destacadas del sector. Adem\u00e1s, estos modelos suponen una amenaza para los usuarios de las principales plataformas de IA.<\/p>\n

En la tabla, se resumen las diferencias entre las dos situaciones.<\/p>\n\n\n\n\n\n\n\n
<\/td>\nSupresi\u00f3n de la propiedad<\/strong><\/td>\nTransferencia de la propiedad<\/strong><\/td>\n<\/tr>\n
Causa<\/strong><\/td>\nSe borr\u00f3 el autor del modelo de Hugging Face.<\/td>\nSe transfiri\u00f3 el modelo a un nuevo propietario, y se elimin\u00f3 el autor anterior de Hugging Face.<\/td>\n<\/tr>\n
Experiencia del usuario<\/strong><\/td>\nLos usuarios experimentar\u00e1n un tiempo de inactividad, ya que el modelo no existe.<\/td>\nLos usuarios no se ver\u00e1n afectados, ya que sus solicitudes se redirigen al nuevo modelo.<\/td>\n<\/tr>\n
C\u00f3digos de estado HTTP en el acceso al modelo<\/strong><\/td>\n404<\/td>\n307<\/td>\n<\/tr>\n
Se\u00f1ales de identificaci\u00f3n<\/strong><\/td>\nEl autor del modelo ya no est\u00e1 disponible en Hugging Face.<\/td>\nAl intentar acceder al modelo, Hugging Face redirige al usuario a un autor diferente. Adem\u00e1s, el autor anterior ya no est\u00e1 disponible.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tabla\u00a01. Diferencias clave entre los modelos reutilizables eliminados y los modelos reutilizables transferidos.<\/em><\/span><\/p>\n

<\/a>La reutilizaci\u00f3n del espacio de nombres del modelo en la pr\u00e1ctica<\/h2>\n

<\/a>Estudio de caso n.\u00ba\u00a01: Vertex AI<\/h3>\n

Google Vertex\u00a0AI es una plataforma gestionada de aprendizaje autom\u00e1tico (ML) en Google Cloud Platform (GCP). Los desarrolladores utilizan Vertex\u00a0AI para crear y escalar modelos que se integran con otros servicios de Google Cloud.<\/p>\n

Una caracter\u00edstica clave de Vertex\u00a0AI es Model Garden, un repositorio centralizado de modelos preentrenados de Google, terceros y la comunidad de c\u00f3digo abierto. En particular, Model Garden de Vertex\u00a0AI admite la implementaci\u00f3n directa de modelos de Hugging Face. Esto significa que los usuarios pueden seleccionar un modelo de Hugging Face e implementarlo en Vertex\u00a0AI en unos pocos pasos, sin necesidad de empaquetado personalizado.<\/p>\n

En la Figura\u00a03, se muestra la implementaci\u00f3n del modelo distilbert\/distilgpt2<\/span>.<\/p>\n

\"Captura
Figura 3. Implementaci\u00f3n de un modelo de Hugging Face en Vertex AI.<\/figcaption><\/figure>\n

Es importante se\u00f1alar que no todos los modelos pueden implementarse inmediatamente a trav\u00e9s de Vertex\u00a0AI. Una marca de verificaci\u00f3n verde junto al nombre del modelo significa que Google verific\u00f3 que el modelo se puede implementar en Vertex\u00a0AI.<\/p>\n

Adem\u00e1s, la interfaz ofrece un c\u00f3modo enlace a la ficha del modelo en Hugging Face, lo que permite a los usuarios revisar r\u00e1pidamente la documentaci\u00f3n, las licencias y otros detalles clave. En la Figura\u00a04, se muestra un ejemplo de la tarjeta del modelo distilbert\/distilgpt2<\/span>.<\/em><\/p>\n

\"Captura
Figura 4. Tarjeta del modelo distilGPT2<\/span> en Hugging Face.<\/figcaption><\/figure>\n

Al examinar la lista de modelos que Vertex\u00a0AI ofrece para su implementaci\u00f3n directa desde Hugging Face y al comprobar si se eliminaron los autores originales, identificamos varios modelos reutilizables. Se trata de modelos que cumplen las dos condiciones siguientes:<\/p>\n