Hugging Face這次碰到的,並非一般撞庫或腳本掃描。它披露,一個惡意資料集攻入資料處理管線,攻擊方用自主智慧體框架在基礎設施內橫向移動。
最刺眼的地方,是攻防兩邊都在機器速度上跑。攻擊方以短生命週期沙箱鋪開行動,Hugging Face則用AI輔助偵測和LLM取證代理把日誌拆回來。
"Autonomous, AI-driven offensive tooling is no longer theoretical."
入口在資料處理管線
官方說,惡意資料集利用兩個程式碼執行路徑:遠端程式碼資料集載入器,以及資料集設定裡的模板注入。程式碼先在處理worker上跑起來,再升到節點級存取,取得部分服務憑證,並在一個週末進入多個內部叢集。
Hugging Face表示,沒有發現公開模型、資料集、Spaces、容器映像或已發布套件遭竄改。它仍在評估合作夥伴或客戶資料是否受影響,並建議使用者輪換存取token、檢查近期帳號活動。
防守也變成AI流程
最早的異常訊號來自AI輔助偵測。後續取證中,LLM驅動的分析代理處理了超過17,000條攻擊動作紀錄,用來重建時間線、提取IOC、映射被觸碰的憑證,並區分實際影響和誘餌活動。Hyper.AI也復核了17,000條事件與GLM 5.2口徑。
本地模型在應急時派上用場
Hugging Face原先嘗試用商業API背後的前沿模型分析日誌,但取證請求包含真實攻擊命令、payload和C2痕跡,被安全護欄攔下。最後它改用自家基礎設施上的開放權重模型GLM 5.2,讓攻擊資料和相關憑證留在內部環境。
模型集市風險不只這一次
MalHug研究提供了背景:在螞蟻集團鏡像環境中運行三個月後,MalHug監測超過705K個模型和176K個資料集,發現91個惡意模型和9個惡意資料集載入腳本,威脅包含反向shell、瀏覽器憑證竊取和系統偵察。
開發者的短期動作很清楚:輪換Hugging Face token,審計近期上傳與建置,隔離遠端程式碼資料集載入,並把模型與資料集納入供應鏈資產管理,而不只看成內容檔案。
參考來源:Hugging Face安全披露、Hyper.AI、CocoLoop、MalHug論文摘要;核驗入侵路徑、17,000條事件、GLM 5.2本地取證、憑證輪換、供應鏈狀態與模型集市惡意程式碼背景。