Hugging Face révèle une intrusion par agents IA

La divulgation de Hugging Face ne ressemble pas à une simple attaque par identifiants. Un dataset malveillant a exploité la chaîne de traitement des données, puis l'attaquant a utilisé un framework d'agents autonomes pour se déplacer dans l'infrastructure.

Le point marquant est la vitesse des deux côtés : l'attaque était automatisée, et Hugging Face a répondu avec de la détection assistée par IA et de l'analyse forensic pilotée par LLM.

"Autonomous, AI-driven offensive tooling is no longer theoretical."

L'entrée venait de la chaîne de données

Selon Hugging Face, le dataset malveillant a exploité deux chemins d'exécution de code : un chargeur de dataset avec code distant et une injection de template dans la configuration du dataset. Le code s'est exécuté sur un worker de traitement, a obtenu un accès au niveau nœud, a collecté certaines informations d'identification de service et s'est déplacé latéralement vers plusieurs clusters internes pendant un week-end.

L'entreprise dit n'avoir trouvé aucune preuve d'altération des modèles publics, datasets, Spaces, images de conteneurs ou paquets publiés. Elle évalue encore l'impact éventuel sur les données de partenaires ou clients et recommande de faire tourner les tokens d'accès et de vérifier l'activité récente.

La défense est aussi devenue un workflow IA

Le premier signal est venu d'une détection d'anomalies assistée par IA. Pendant la réponse, des agents d'analyse pilotés par LLM ont traité plus de 17 000 événements d'action de l'attaquant afin de reconstruire la chronologie, extraire les IOC, cartographier les identifiants touchés et séparer l'impact réel des leurres. Hyper.AI reprend également les points des 17 000 événements et de GLM 5.2.

Le modèle local a débloqué l'enquête

Hugging Face a d'abord essayé des modèles frontier via API commerciales, mais les requêtes forensic contenaient de vraies commandes d'attaque, des payloads et des artefacts C2, bloqués par les garde-fous de sécurité. L'équipe a ensuite utilisé GLM 5.2, un modèle open-weight exécuté sur sa propre infrastructure, afin que les données de l'attaquant et les identifiants restent dans son environnement.

Le risque des hubs de modèles est plus large

La recherche MalHug donne le contexte. Dans un miroir Hugging Face opéré avec Ant Group, le système a surveillé plus de 705K modèles et 176K datasets pendant trois mois, trouvant 91 modèles malveillants et 9 scripts malveillants de chargement de datasets. Les menaces incluaient reverse shell, vol d'identifiants de navigateur et reconnaissance système.

Pour les développeurs, les gestes sont concrets : faire tourner les tokens Hugging Face, auditer les uploads et builds récents, isoler le chargement de datasets avec code distant, et traiter modèles et datasets comme des actifs de chaîne d'approvisionnement.

Sources : divulgation de sécurité de Hugging Face, Hyper.AI, CocoLoop, résumé du papier MalHug ; vérification du chemin d'intrusion, des 17 000 événements, de l'analyse locale GLM 5.2, de la rotation des identifiants, de l'état de la chaîne d'approvisionnement et du contexte de code malveillant dans les hubs de modèles.