Hugging Face công bố vụ xâm nhập bằng tác nhân AI

Công bố của Hugging Face không phải một vụ dò mật khẩu thông thường. Công ty cho biết một dataset độc hại đã lợi dụng pipeline xử lý dữ liệu, sau đó kẻ tấn công dùng khung tác nhân tự động để di chuyển trong hạ tầng.

Điểm đáng chú ý là cả tấn công và phòng thủ đều diễn ra ở tốc độ máy. Hugging Face dùng phát hiện hỗ trợ bởi AI và các tác nhân phân tích LLM để dựng lại nhật ký tấn công.

"Autonomous, AI-driven offensive tooling is no longer theoretical."

Điểm vào nằm ở pipeline dữ liệu

Theo Hugging Face, dataset độc hại đã khai thác hai đường thực thi mã: bộ nạp dataset có remote code và template injection trong cấu hình dataset. Mã chạy trên worker xử lý, leo lên quyền cấp node, lấy một số credential dịch vụ và di chuyển ngang vào nhiều cụm nội bộ trong một cuối tuần.

Công ty chưa thấy bằng chứng các model, dataset, Spaces, container image hay package công khai bị chỉnh sửa. Ảnh hưởng đến dữ liệu đối tác hoặc khách hàng vẫn đang được đánh giá, và người dùng được khuyến nghị xoay vòng access token, kiểm tra hoạt động gần đây.

Phòng thủ cũng thành quy trình AI

Tín hiệu ban đầu đến từ phát hiện bất thường có AI hỗ trợ. Trong điều tra, các tác nhân phân tích dựa trên LLM xử lý hơn 17.000 sự kiện hành động của kẻ tấn công, dựng lại timeline, trích xuất IOC, ánh xạ credential bị chạm tới và tách tác động thật khỏi hoạt động mồi. Hyper.AI cũng xác nhận lại con số 17.000 sự kiện và việc dùng GLM 5.2.

Model chạy nội bộ giúp tránh kẹt guardrail

Hugging Face ban đầu thử dùng model frontier qua API thương mại, nhưng các yêu cầu điều tra chứa lệnh tấn công, payload và dấu vết C2 thật nên bị guardrail chặn. Nhóm chuyển sang chạy GLM 5.2, một model open-weight trên hạ tầng riêng, để dữ liệu tấn công và credential không rời môi trường của mình.

Rủi ro của hub model rộng hơn một vụ việc

Nghiên cứu MalHug cho thấy bối cảnh lớn hơn. Trong môi trường Hugging Face mirror cùng Ant Group, hệ thống giám sát hơn 705K model và 176K dataset trong ba tháng, phát hiện 91 model độc hại và 9 script nạp dataset độc hại. Các mối đe dọa gồm reverse shell, đánh cắp credential trình duyệt và do thám hệ thống.

Với lập trình viên, việc cần làm khá rõ: xoay vòng token Hugging Face, audit upload và build gần đây, cô lập dataset có remote code, và quản lý model cùng dataset như tài sản chuỗi cung ứng phần mềm.

Nguồn: công bố bảo mật của Hugging Face, Hyper.AI, CocoLoop, tóm tắt paper MalHug; đối chiếu đường xâm nhập, hơn 17.000 sự kiện, phân tích cục bộ bằng GLM 5.2, xoay vòng credential, trạng thái chuỗi cung ứng và bối cảnh mã độc trên hub model.