Die Offenlegung von Hugging Face beschreibt keinen gewöhnlichen Credential-Angriff. Ein manipuliertes Dataset missbrauchte die Datenverarbeitungspipeline, während der Angreifer mit einem autonomen Agenten-Framework in der Infrastruktur weiterarbeitete.
Der eigentliche Punkt ist die Geschwindigkeit auf beiden Seiten: Der Angriff lief automatisiert, und Hugging Face nutzte KI-gestützte Erkennung sowie LLM-basierte Forensik, um aufzuholen.
"Autonomous, AI-driven offensive tooling is no longer theoretical."
Der Einstieg lag in der Datenpipeline
Nach Angaben von Hugging Face nutzte das schädliche Dataset zwei Code-Ausführungspfade: einen Remote-Code-Dataset-Loader und Template-Injection in einer Dataset-Konfiguration. Der Code lief auf einem Processing Worker, eskalierte zu Node-Zugriff, sammelte einige Service-Credentials und bewegte sich über ein Wochenende in mehrere interne Cluster.
Für öffentliche Modelle, Datasets, Spaces, Container Images und veröffentlichte Pakete fand das Unternehmen keine Hinweise auf Manipulation. Ob Partner- oder Kundendaten betroffen sind, wird weiter geprüft. Nutzern wird empfohlen, Access Tokens zu rotieren und aktuelle Kontoaktivitäten zu prüfen.
Auch die Verteidigung wurde ein KI-Workflow
Der erste Hinweis kam aus KI-gestützter Anomalieerkennung. In der Reaktion verarbeiteten LLM-getriebene Analyseagenten mehr als 17.000 aufgezeichnete Angreiferaktionen, rekonstruierten die Zeitlinie, extrahierten IOCs, kartierten berührte Credentials und trennten echte Auswirkungen von Köderaktivität. Hyper.AI bestätigte die 17.000 Ereignisse und die GLM-5.2-Analyse in seiner Darstellung.
Lokale Modelle wurden praktisch
Hugging Face versuchte zunächst Frontier-Modelle über kommerzielle APIs. Die forensischen Prompts enthielten jedoch echte Exploit-Befehle, Payloads und C2-Artefakte und wurden von Sicherheitsfiltern blockiert. Danach lief die Analyse auf GLM 5.2, einem Open-Weight-Modell in der eigenen Infrastruktur, sodass Angreiferdaten und Credentials intern blieben.
Das Risiko von Modell-Hubs ist breiter
MalHug liefert den Hintergrund. In einer mit Ant Group betriebenen gespiegelten Hugging-Face-Umgebung überwachte das System über drei Monate mehr als 705K Modelle und 176K Datasets und fand 91 schädliche Modelle sowie 9 schädliche Dataset-Loading-Skripte. Die Bedrohungen reichten von Reverse Shells über Browser-Credential-Diebstahl bis zu Systemaufklärung.
Für Entwickler folgt eine konkrete Liste: Hugging-Face-Tokens rotieren, neue Uploads und Builds prüfen, Remote-Code-Dataset-Loading isolieren und Modelle sowie Datasets als Supply-Chain-Assets verwalten.
Quellen: Hugging-Face-Sicherheitsmeldung, Hyper.AI, CocoLoop, MalHug-Paper-Zusammenfassung; geprüft wurden Angriffsweg, 17.000 Ereignisse, lokale GLM-5.2-Analyse, Credential-Rotation, Supply-Chain-Status und der Hintergrund zu bösartigem Code in Modell-Hubs.