Hugging Face revela intrusión con agentes de IA

La revelación de Hugging Face no describe un robo común de credenciales. Un dataset malicioso abusó de la canalización de procesamiento de datos, y el atacante usó un marco de agentes autónomos para moverse por la infraestructura.

Lo importante es la velocidad en ambos lados: el ataque operó de forma automatizada, y Hugging Face respondió con detección asistida por IA y análisis forense impulsado por LLM.

"Autonomous, AI-driven offensive tooling is no longer theoretical."

La entrada fue la canalización de datos

Según Hugging Face, el dataset malicioso explotó dos vías de ejecución de código: un cargador de datasets con código remoto y una inyección de plantillas en la configuración del dataset. El código se ejecutó en un worker de procesamiento, escaló a acceso de nodo, recolectó algunas credenciales de servicio y se movió lateralmente a varios clústeres internos durante un fin de semana.

La compañía no encontró evidencia de manipulación en modelos públicos, datasets, Spaces, imágenes de contenedor ni paquetes publicados. Aún evalúa si hubo impacto en datos de socios o clientes y recomienda rotar tokens de acceso y revisar actividad reciente.

La defensa también se volvió un flujo de IA

La señal inicial surgió de detección de anomalías asistida por IA. En la respuesta, agentes de análisis basados en LLM procesaron más de 17.000 eventos registrados del atacante para reconstruir la línea temporal, extraer IOC, mapear credenciales tocadas y separar impacto real de actividad señuelo. Hyper.AI también confirmó los puntos de 17.000 eventos y GLM 5.2.

El modelo local fue decisivo

Hugging Face intentó primero usar modelos frontier mediante APIs comerciales, pero las solicitudes forenses incluían comandos reales de explotación, payloads y artefactos C2, bloqueados por guardrails de seguridad. Luego ejecutó GLM 5.2, un modelo open-weight en su propia infraestructura, manteniendo datos del atacante y credenciales dentro del entorno interno.

El riesgo de los hubs de modelos es más amplio

La investigación MalHug da contexto. En un espejo de Hugging Face operado con Ant Group, el sistema monitoreó más de 705K modelos y 176K datasets durante tres meses, y halló 91 modelos maliciosos y 9 scripts maliciosos de carga de datasets. Las amenazas incluían reverse shells, robo de credenciales del navegador y reconocimiento del sistema.

Para desarrolladores, las medidas son claras: rotar tokens de Hugging Face, auditar subidas y builds recientes, aislar datasets con código remoto y tratar modelos y datasets como activos de cadena de suministro.

Fuentes: divulgación de seguridad de Hugging Face, Hyper.AI, CocoLoop, resumen del paper MalHug; se verificaron la ruta de intrusión, 17.000 eventos, análisis local con GLM 5.2, rotación de credenciales, estado de la cadena de suministro y el contexto de código malicioso en hubs de modelos.