当前位置：首页 > article >正文

恶意 Hugging Face 仓库 18 小时登顶热门榜，引发公共 AI 仓库安全担忧

article 2026/5/13 5:40:39

【事件概述】一个伪装成 OpenAI 发布内容的恶意 Hugging Face 仓库向 Windows 系统投放信息窃取恶意软件。该仓库在 18 小时内登上 Hugging Face 热门排行榜首位被移除前下载量达 24.4 万次引发人们对企业从公共仓库获取和验证 AI 模型的新担忧。图片来源Robert Way / Shutterstock【恶意仓库详情】AI 安全公司 HiddenLayer 在研究报告中指出名为 Open - OSS/privacy - filter 的仓库假冒 OpenAI 合法的隐私过滤器版本几乎逐字复制其模型说明卡并包含恶意的 loader.py 文件该文件会在 Windows 主机上获取并执行窃取凭证的恶意软件。报告还称该仓库在不到 18 小时内登上 Hugging Face 热门排行榜首位获得约 24.4 万次下载和 667 个点赞数据很可能是人为夸大目的是让仓库看起来合法。这一事件凸显公共 AI 模型注册表正成为企业面临的新软件供应链风险尤其是开发者和数据科学家将开源模型直接克隆到可访问源代码、云凭证和内部系统的企业环境中时。这个虚假模型附带的 README 与合法项目不同它指示用户在 Windows 系统上运行 start.bat或在 Linux 和 macOS 系统上执行 python loader.py。此前研究人员曾在 Hugging Face 上的 Pickle 序列化模型文件中发现隐藏恶意代码绕过了平台扫描程序还警告 AI 供应链在监管和工具方面落后于传统软件。【恶意加载程序机制】据 HiddenLayer 称loader.py 脚本先执行看似合法的 AI 模型加载程序的诱饵代码然后启动隐藏的感染链。该脚本禁用 SSL 验证解码与公共 JSON 托管服务 jsonkeeper.com 相关联的 base64 编码 URL获取远程有效负载指令并将命令传递给 PowerShell。研究人员表示使用 jsonkeeper[.]com 作为 C2 通道攻击者可在不修改仓库的情况下更换有效负载。由此产生的 PowerShell 命令会从攻击者控制的域名下载额外批处理文件并通过创建计划任务建立持久化该任务旨在模仿合法的 Microsoft Edge 更新过程。报告称感染链最终部署基于 Rust 的信息窃取程序目标是基于 Chromium 和 Firefox 的浏览器、Discord 本地存储、加密货币钱包、FileZilla 配置以及主机系统信息。该恶意软件还试图禁用 Windows 反恶意软件扫描接口和 Windows 事件跟踪同时检查沙盒和虚拟机环境以逃避分析。【更广泛的攻击关联】HiddenLayer 在报告中表示还发现另外六个在另一个账户下上传到 Hugging Face 的仓库使用几乎相同的加载程序逻辑并与此次攻击活动共享基础设施。研究人员还将此次攻击的部分元素与早期涉及 npm 仿冒域名攻击和通过 PyPI 分发的虚假 AI 包的软件供应链攻击联系起来。HiddenLayer 称共享的基础设施表明这些攻击活动可能相互关联很可能是针对开源生态系统的更广泛供应链攻击的一部分。此前研究人员曾警告过 Hugging Face 上 Pickle 序列化 AI 模型文件中嵌入的恶意代码以及涉及受污染的 AI SDK 和虚假 OpenClaw 安装程序的独立攻击活动。【传统安全控制局限】分析师指出这一事件暴露出现有软件成分分析和应用程序安全工具在处理 AI 制品时的局限性。IDC 网络安全服务高级研究经理 Sakshi Grover 表示传统的软件成分分析SCA旨在检查依赖清单、库和容器镜像而非与 AI 开发工作流程相关的日益复杂的行为在识别隐藏在看似合法的 AI 仓库中的恶意加载程序逻辑方面效果差得多。Gartner 主任分析师 Jaishiv Prakash 表示企业现在需要在 AI 注册表层面建立专门的治理控制。企业必须在注册表层面为模型来源、批准版本、访问和运行时验证建立专门的控制措施。他补充道模型仓库分发的可执行制品和嵌入式逻辑往往超出传统 SCA 工具的有效范围。Grover 表示IDC 2025 年 11 月的 FutureScape 报告预测到 2027 年部署自主 AI 系统的企业中60% 将需要 AI 物料清单以支持持续的漏洞扫描和合规保证。【企业应对建议】HiddenLayer 敦促受影响的用户将受影响的系统视为已完全被攻破并优先进行系统重装而不是清理工作。报告称如果克隆了 Open - OSS/privacy - filter 并在 Windows 主机上执行了 start.bat、python loader.py 或该仓库中的任何文件应将该系统视为已完全被攻破。研究人员补充说即使密码没有本地存储浏览器会话也应被视为已被攻破因为被盗的会话 cookie 可以绕过多因素身份验证保护。该公司还建议阻止列出的攻击迹象、轮换凭证、使活动会话无效并对与此次攻击活动相关的网络连接进行历史追溯。报告显示Hugging Face 已向 HiddenLayer 确认该仓库违反了其服务条款并将其从平台上移除。

恶意 Hugging Face 仓库 18 小时登顶热门榜，引发公共 AI 仓库安全担忧

相关文章：

恶意 Hugging Face 仓库 18 小时登顶热门榜，引发公共 AI 仓库安全担忧

软件开发加速安全审查滞后：“查找 - 修复”与“防御 - 推迟”难敌新风险！

应用安全从被动到主动：企业如何提升弹性与可靠性，降低安全债务？

FastAPI清洁架构实践：从分层设计到可维护项目搭建

从零到一：PyQt-Fluent-Widgets导航组件实战指南

微博数据接口解决方案：Python爬虫工程实践与反爬策略

Neovim集成ChatGPT：AI编程助手插件配置与实战指南

Atlas框架：机器学习全生命周期的安全审计与验证

ZYNQ UltraScale+ MPSoC实战：基于PL端AXI_UART16550 IP核与PS端中断机制，实现RS485多帧长数据可靠接收

基于Puppeteer的网页结构化检查工具：原理、实现与优化

如何在Windows电脑上直接安装Android应用：3个简单步骤告别模拟器

为什么93%的开发者在WebRTC集成中卡在ElevenLabs音频缓冲层？——低延迟TTS流式传输终极调优方案

Bose-Hubbard模型与量子Gibbs态模拟技术解析

基于MCP协议与Google Apps Script的Google Workspace自动化集成实践

汉字可视化探索平台：基于Flask+Vue的汉字浏览系统架构与实现

运营商网络工程师视角：VoWiFi部署中的ePDG与AAA服务器配置要点及避坑指南

1D-CNN模型如何关联阴谋论搜索与仇恨犯罪预测

RAG开发实战：Langchain-RAG-DevelopmentKit核心架构与工程化指南

量子网络远程纠缠生成技术及其应用

电子显微镜波传递函数与Ptychographic重建技术解析

DeepSeek代码能力实测：3大编程范式通过率对比，92.7%准确率背后的5个隐藏陷阱

Vinkius Cloud扩展：在IDE中无缝管理MCP AI网关运行时

OpenClacky：AI Agent技能加密与商业分发平台实战指南

用STM32CubeMX和HAL库驱动MG90S舵机：从PWM原理到代码实现的保姆级教程

Claude智能优化器：提升AI应用开发效率的提示词工程中间件

ARM PMU性能监控架构与寄存器详解

Linux服务器远程桌面实战：xrdp配置与Windows无缝连接指南

Dify工作流构建指南：从业务需求到可运行AI应用的全流程解析

别再只用XXL-Job了！用Go写的Temporal，搞定延时发短信、定时对账这些复杂工作流真香

Vellium：基于Electron与RAG的本地AI创作工作台架构解析