文章总结： PyMLOKit是一款针对MLOps平台的Python安全工具，覆盖AzureML、SageMaker、WandB等11个主流平台。它利用RESTAPI支持凭据验证、模型窃取、数据泄露、模型投毒及环境攻击等功能。文章详细展示了安装步骤、命令参数及实战用法，指出其既可用于渗透测试自查也能被攻击者利用，强调了AI基础设施面临的新风险，建议企业收紧API权限并加强模型流水线防护。 综合评分： 82 文章分类： 安全工具,渗透测试,AI安全,数据安全,漏洞POC

PyMLOKit：一把捅向MLOps平台的特制瑞士军刀

原创

工具党 工具党

幻泉之洲

2026年3月5日 10:00 北京

MLOps平台为模型协作和部署带来便利，但它们自身的API也可能成为攻击者的后门。PyMLOKit是一款专为攻击MLOps平台设计的工具包，覆盖AzureML、SageMaker、WandB等十多个主流平台，支持模型窃取、数据泄露、模型投毒等多种攻击模块。本文将拆解其功能，演示用法，并思考其背后的安全逻辑。

01 工具是什么

简单说，PyMLOKit是冲着MLOps平台去的工具箱。它专门利用这些平台提供的REST API来干坏事。只要你能搞到目标的登录凭据，这个工具就能帮你干很多事，比如侦察、偷训练数据、下载别人的模型，甚至还能给模型“下毒”，或者攻击人家的运行环境。

这工具是Python写的，但它有个C#的“前身”——MLOKit。这个Python版本不光是移植，还扩展了一堆新的平台支持。得感谢原作者h4wkst3r开了这个先河。

02 它能对付哪些平台

覆盖挺广，支持了11个以上的MLOps平台，可以分成两拨来看：

• “继承”的元老平台

  ：从原版MLOKit带来的。包括微软Azure Machine Learning (azureml)、亚马逊Amazon SageMaker (sagemaker)、谷歌Google Vertex AI (vertexai)、MLFlow (mlflow)、BigML (bigml)、还有Palantir Foundry (palantir)。

• PyMLOKit的“独家专区”

  ：这是新版新增的，更贴近现在公司里常用的新玩意。有Weights & Biases (wandb)、ClearML (clearml)、ZenML (zenml)、Metaflow (metaflow)和Kubeflow Pipelines (kubeflow)。

基本上把主流和新兴的平台都囊括了，攻击面选得够准。

03 上手安装

安装流程简单直接：

克隆仓库

cd PyMLOKit

以可编辑模式安装依赖和工具

pip install -e .

验证安装

pymlokit –help

04 怎么用：模块和命令

所有平台的调用格式是一致的，不用记太多花样：

pymlokit  /platform:<平台标识> /credential:<凭据> [其他选项…]

目前支持的攻击模块有这些：

• check

  : 验证你手里的凭据好不好使。

• list-projects

  : 列出所有项目、工作区或实验。

• list-models

  : 查看已注册的模型和文件。

• list-datasets

  : 列出训练数据集。

• download-model

  : 把模型文件下载到本地。

• download-dataset

  : 把数据集文件扒下来。

• poison-model

  : 往模型文件里插恶意代码（仅限部分支持的平台）。

• add-notebook-trigger

  : 添加恶意的生命周期配置（目前主要针对SageMaker）。

不同平台需要填的参数不一样，主要格式如下：

| 平台标识 | 凭据格式 | 关键选项（示例） | | — | — | — | | Azure ML | CLI Token / 服务主体密钥 | /subscription-id, /resource-group, /workspace | | SageMaker | ACCESS_KEY;SECRET_KEY;SESSION_TOKEN | /region, /notebook-name | | Vertex AI | 服务账号JSON密钥文件路径 | /project | | MLFlow | USER;PASSWORD | /url | | WandB | API_KEY | /project | | ClearML | ACCESS_KEY;SECRET_KEY | /api-url, /project-id | | ZenML | USER:PASS 或 TOKEN | /api-url | | Metaflow | dummy (或认证token) | /service-url | | Kubeflow | Bearer Token | /api-url |

05 实战命令演示

光说没用，看几个具体怎么调的命令。

检查WandB的凭据灵不灵

pymlokit check /platform:wandb /credential:”YOUR_API_KEY”

列出ClearML里所有的模型

pymlokit list-models /platform:clearml /credential:”ACCESS_KEY;SECRET_KEY” /api-url:”https://api.clear.ml” /project-id:”PROJECT_ID”

从MLFlow服务器上下载一个模型

pymlokit download-model /platform:mlflow /credential:”user;password” /url:”http://mlflow-server:5000″ /model-id:”models:/MyModel/1″

枚举Metaflow服务上的所有项目

pymlokit list-projects /platform:metaflow /credential:”dummy” /service-url:”http://localhost:8080″

06 用它干什么，以及一点想法

说实话，这个工具定位很清晰。如果你是安全工程师，想评估自家MLOps平台的安全性，它可以当个趁手的“合规”渗透测试工具。你可以用它来自查，看看平台API设计得是不是太“敞亮”，权限控制有没有漏洞。

但更大概率，它会出现在攻击者的工具库里。通过钓鱼、泄露的密钥或者内部威胁搞到凭据后，攻击者能快速横向移动，偷走你们辛苦训练的核心模型和数据资产，造成的损失可能比普通数据泄露大多了。

工具本身是中立的，但设计思路透露出一个信号：MLOps平台、AI基础设施，正成为新的重点攻击面。以前大家盯着Web和数据库，现在搞AI的公司得把自家那套模型流水线也放进安全雷达里了。

它能支持的攻击链挺完整，从初始侦察到后期搞破坏。工具是模块化设计的，社区里懂行的人可以很方便地继续往里塞新的攻击手法。

一句话总结：PyMLOKit功能专一、威力不小。用来自查，推荐指数四颗星；用来干坏事，后果自负。用它测试完自家系统后，别忘了把API访问权限收紧一点。

获取方式：回复“PyMLOKit”获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 工具党 工具党《PyMLOKit：一把捅向MLOps平台的特制瑞士军刀》