A divulgação da Hugging Face não descreve um ataque comum a credenciais. Um dataset malicioso explorou a pipeline de processamento de dados, e o invasor usou uma estrutura de agente autônomo para se mover pela infraestrutura.
O ponto central é a velocidade dos dois lados: o ataque rodou de forma automatizada, e a defesa recorreu a detecção assistida por IA e análise forense com LLM.
"Autonomous, AI-driven offensive tooling is no longer theoretical."
A entrada foi pela pipeline de dados
Segundo a Hugging Face, o dataset malicioso abusou de dois caminhos de execução de código: um dataset loader com remote code e uma injeção de template na configuração do dataset. O código rodou em um worker de processamento, escalou para acesso em nível de nó, coletou algumas credenciais de serviço e se moveu lateralmente por vários clusters internos durante um fim de semana.
A empresa não encontrou evidência de adulteração em modelos públicos, datasets, Spaces, imagens de contêiner ou pacotes publicados. A avaliação sobre dados de parceiros ou clientes continua, e usuários foram orientados a trocar tokens de acesso e revisar atividades recentes.
A defesa também virou fluxo de IA
O primeiro sinal veio de detecção de anomalias assistida por IA. Na resposta, agentes de análise guiados por LLM processaram mais de 17.000 eventos registrados do atacante para reconstruir a linha do tempo, extrair IOCs, mapear credenciais tocadas e separar impacto real de atividade isca. A Hyper.AI também reproduziu os pontos de 17.000 eventos e GLM 5.2.
O modelo local destravou a investigação
A Hugging Face tentou primeiro usar modelos frontier via APIs comerciais, mas os pedidos forenses continham comandos reais de ataque, payloads e artefatos C2, bloqueados por guardrails de segurança. A equipe então usou o GLM 5.2, um modelo open-weight em sua própria infraestrutura, mantendo dados do atacante e credenciais dentro do ambiente interno.
O risco em hubs de modelos é maior
A pesquisa MalHug mostra o pano de fundo. Em um espelho da Hugging Face operado com o Ant Group, o sistema monitorou mais de 705K modelos e 176K datasets por três meses, encontrando 91 modelos maliciosos e 9 scripts maliciosos de carregamento de dataset. As ameaças incluíam reverse shell, roubo de credenciais de navegador e reconhecimento de sistema.
Para desenvolvedores, a lista é direta: trocar tokens da Hugging Face, auditar uploads e builds recentes, isolar datasets com remote code e tratar modelos e datasets como ativos de supply chain, não apenas como arquivos de conteúdo.
Fontes: divulgação de segurança da Hugging Face, Hyper.AI, CocoLoop, resumo do paper MalHug; foram checados o caminho da intrusão, 17.000 eventos, análise local com GLM 5.2, rotação de credenciais, status da supply chain e o contexto de código malicioso em hubs de modelos.