Hugging Face遭AI智能体入侵

Hugging Face碰到的,并非普通撞库或一次脚本扫描。它在7月16日公开承认,一组攻击者把恶意数据集塞进平台的数据处理链路,靠自动化智能体完成横向移动;平台这边也用AI把攻击日志拆回来。

这条新闻最扎人的地方,是攻防两边都在机器速度上跑。攻击方用短生命周期沙箱铺开行动,防守方用LLM分析完整日志。模型集市过去最怕的是坏权重、坏pickle文件、恶意Spaces;现在,数据集处理流水线也成了入口

Hugging Face给出的判断很直接:

“Autonomous, AI-driven offensive tooling is no longer theoretical.”

中文意译:自主AI驱动的进攻工具已经进入现实。

攻击从数据管道进来

官方披露的初始入口,是一个恶意数据集。它利用了两个代码执行路径:远程代码数据集加载器,以及数据集配置里的模板注入。代码先在处理worker上跑起来,再升级到节点级访问,随后拿到部分云和集群凭据,并在一个周末横向进入多个内部集群。

这串动作听上去像传统供应链攻击,但执行方式换了。Hugging Face说,攻击活动由一个自主智能体框架运行,可能基于安全研究harness,具体使用的LLM还不清楚。它执行了成千上万个独立动作,放在一批短命沙箱里,并把命令控制环节分散到公共服务上。

截至披露时,Hugging Face说没有发现公开的用户可见模型、数据集或Spaces遭篡改,容器镜像和已发布软件包也已验证干净。它仍在评估合作伙伴或客户数据是否受影响,并建议用户预防性轮换访问token、检查账号近期活动。

防守方也用AI补速度

这次响应里最有新闻价值的一段,是Hugging Face把防守流程摆到了台面上。

平台最早靠AI辅助检测发现异常。后续取证时,团队让LLM驱动的分析智能体处理完整攻击动作日志,规模超过17,000条记录事件。这些分析智能体用来重建攻击线、提取IOC、映射被触碰的凭据,并把真实影响和诱饵活动拆开。Hyper.AI的复述也确认了17,000条事件和GLM 5.2本地取证这两个口径。

这给安全团队一个现实参照:AI不只会扩大攻击面,也能压缩取证周期。Hugging Face的说法是,过去通常要几天的工作,这次在数小时内完成。数字不能直接外推到所有公司,但方向很清楚:日志量越大、动作越碎,人工逐条翻的方式越吃亏。

本地模型成了应急工具

另一处细节更贴近企业应急:Hugging Face一开始试图用商业API背后的前沿模型分析日志,结果被安全策略挡住了。原因并不荒唐:取证请求里会包含真实攻击命令、漏洞payload和C2痕迹,模型服务商的安全护栏难以区分应急响应人员和攻击者。

最后它改用自家基础设施上运行的开放权重模型GLM 5.2。这个选择带来两个结果:分析没有继续被拦,攻击数据和其中涉及的凭据也没有离开Hugging Face环境。

这段经验对企业比“谁的模型更强”更实用。安全应急场景里,托管模型的合规护栏、日志留存、数据出境和调用失败,都可能成为响应链路的一部分。大型平台要准备一套能离线或内网运行的模型,目标很朴素:出事时手边有不被外部策略卡住的工具。

模型集市的老风险换了打法

这件事还有更长的背景。Hugging Face Daily Papers收录的MalHug研究给了一个背景数:在蚂蚁集团镜像环境里运行三个月后,MalHug监测了超过705K个模型176K个数据集,发现91个恶意模型9个恶意数据集加载脚本。这些威胁包括反向shell、浏览器凭据窃取和系统侦察。

这组研究数字和本次披露对在一起看,模型集市的安全边界已经从“下载前扫文件”扩展到“处理时管执行”。数据集、加载脚本、模板、评测worker、集群凭据,任何一环默认信任,都会给自动化攻击留下台阶。

对开发者来说,短期动作很具体:

  • 轮换Hugging Face访问token,尤其是写权限和组织token;
  • 审计近期下载、上传、Space构建和自动化流水线;
  • 对远程代码加载、数据集脚本执行、CI里的模型下载加隔离;
  • 把模型和数据集来源纳入供应链清单,而不只记录Python包。

Hugging Face没有把这次事故描述成灾难性供应链污染。更该盯住的是它暴露的新常态:AI平台处理的对象,本身就可能携带可执行行为;攻击者开始把这些行为交给智能体批量试错。防守方也会用AI,但前提是权限、隔离、日志和本地取证能力先补上。

参考来源:Hugging Face 安全披露、Hyper.AI、CocoLoop、MalHug 论文摘要;Hugging Face核验入侵路径、17,000条事件、GLM 5.2本地取证、凭据轮换与供应链状态,Hyper.AI复核17,000条事件和GLM 5.2口径,MalHug核验模型集市恶意代码样本背景。