Hugging Face, AI 에이전트 침입 공개

Hugging Face가 공개한 사건은 단순 계정 탈취가 아니었다. 악성 데이터셋이 데이터 처리 파이프라인을 찔렀고, 공격자는 자율 에이전트 프레임워크로 인프라 안에서 움직였다.

눈에 띄는 지점은 공격과 방어가 모두 기계 속도로 진행됐다는 점이다. Hugging Face는 AI 기반 탐지와 LLM 포렌식 에이전트로 공격 로그를 되짚었다.

"Autonomous, AI-driven offensive tooling is no longer theoretical."

진입점은 데이터 파이프라인이었다

회사 설명에 따르면 악성 데이터셋은 원격 코드 데이터셋 로더와 데이터셋 설정의 템플릿 인젝션이라는 두 실행 경로를 악용했다. 코드는 처리 워커에서 실행됐고, 노드 수준 접근으로 이어진 뒤 일부 서비스 자격 증명을 수집하고 주말 동안 여러 내부 클러스터로 횡이동했다.

공개 사용자 대상 모델, 데이터셋, Spaces, 컨테이너 이미지, 배포 패키지가 변조됐다는 증거는 없다고 밝혔다. 다만 파트너나 고객 데이터 영향은 계속 평가 중이며, 사용자는 액세스 토큰을 교체하고 최근 활동을 확인하라고 권고했다.

방어도 AI 워크플로가 됐다

초기 신호는 AI 보조 이상 탐지에서 나왔다. 대응 과정에서는 LLM 기반 분석 에이전트가 17,000건이 넘는 공격 행동 로그를 처리해 타임라인을 복원하고 IOC와 접촉된 자격 증명을 추출했으며 실제 영향과 미끼 활동을 분리했다. Hyper.AI도 17,000건과 GLM 5.2 분석이라는 핵심 수치를 반복 확인했다.

로컬 모델이 필요했다

Hugging Face는 처음에 상용 API 뒤의 프런티어 모델을 쓰려 했지만, 실제 공격 명령과 payload, C2 흔적이 포함된 포렌식 요청이 안전 가드레일에 막혔다. 결국 자체 인프라에서 오픈웨이트 모델 GLM 5.2를 실행해 분석했고, 공격 데이터와 자격 증명이 외부로 나가지 않았다.

모델 허브 위험은 더 넓다

MalHug 연구는 배경을 보여준다. Ant Group과 운영한 미러 Hugging Face 환경에서 3개월 동안 705K개 이상의 모델과 176K개 데이터셋을 감시했고, 악성 모델 91개와 악성 데이터셋 로딩 스크립트 9개를 찾아냈다. 위협에는 리버스 셸, 브라우저 자격 증명 탈취, 시스템 정찰이 포함됐다.

개발자에게 필요한 조치는 분명하다. Hugging Face 토큰을 교체하고, 최근 업로드와 빌드를 감사하며, 원격 코드 데이터셋 로딩을 격리하고, 모델과 데이터셋을 패키지처럼 공급망 자산으로 관리해야 한다.

출처: Hugging Face 보안 공개, Hyper.AI, CocoLoop, MalHug 논문 요약; 침입 경로, 17,000건 이벤트, GLM 5.2 로컬 분석, 자격 증명 교체, 공급망 상태와 모델 허브 악성 코드 배경을 확인.