Hugging Face、AIエージェント侵入を公表

Hugging Faceの公表は、単なる認証情報の悪用ではない。悪意あるデータセットがデータ処理パイプラインを突き、攻撃側は自律型エージェントの枠組みで社内インフラへ横展開した。

目を引くのは、攻撃も防御も機械の速度で動いた点だ。Hugging FaceはAI支援の検知とLLMによるフォレンジック解析で追跡した。

"Autonomous, AI-driven offensive tooling is no longer theoretical."

入口はデータ処理パイプライン

同社によると、悪意あるデータセットはリモートコード型のデータセットローダーと、設定テンプレート注入という二つの実行経路を悪用した。処理ワーカーでコードが動き、ノード権限へ進み、一部のサービス認証情報を取得し、週末に複数の内部クラスターへ横展開した。

公開モデル、データセット、Spaces、コンテナイメージ、公開済みパッケージの改ざんは確認されていない。同社はパートナーや顧客データへの影響を評価しつつ、アクセストークンのローテーションと最近の活動確認を勧めている。

防御側もAIで速度を補った

初期検知はAI支援の異常検知だった。対応では、LLM駆動の解析エージェントが17,000件を超える攻撃アクションログを処理し、時系列、IOC、触れられた認証情報、本当の影響とおとり行動を分けた。Hyper.AIも17,000件とGLM 5.2の口径を確認している。

ローカルモデルが詰まりを外した

Hugging Faceは当初、商用APIの先端モデルで解析しようとした。しかし実際の攻撃コマンドやpayload、C2痕跡を含むため安全ガードレールで遮断された。そこで自社環境上のオープンウェイトモデルGLM 5.2に切り替え、攻撃データと認証情報を外部へ出さずに解析した。

モデルハブのリスクは広い

MalHug研究では、Ant Groupとのミラー環境で三カ月間に705K超のモデルと176Kのデータセットを監視し、91件の悪意あるモデルと9件の悪意あるデータセット読み込みスクリプトを検出した。反向シェル、ブラウザー認証情報窃取、システム偵察が含まれる。

開発者が今見るべき点は具体的だ。Hugging Faceトークンを更新し、最近のアップロードとビルドを監査し、リモートコード実行型データセットを隔離し、モデルとデータセットをソフトウェア供給網の一部として扱うことだ。

情報源:Hugging Faceセキュリティ公表、Hyper.AI、CocoLoop、MalHug論文要約。侵入経路、17,000件超のイベント、GLM 5.2のローカル解析、認証情報ローテーション、供給網の状態、モデルハブの悪意あるコード背景を確認。