AI安全公司HiddenLayer近日发布研究报告,揭露了一起发生在Hugging Face平台上的严重供应链攻击事件。一个伪装成OpenAI官方发布的恶意仓库被上传至Hugging Face,通过分发信息窃取型恶意软件(infostealer)感染Windows系统,在移除前累计记录了约24.4万次下载。HiddenLayer指出,攻击者可能通过刷量手段人为抬高下载次数以增加可信度,因此实际受害范围仍需进一步评估。
攻击手法:披着OpenAI外衣的恶意代码
据HiddenLayer分析,该恶意仓库的文件名、描述及标签均刻意模仿OpenAI近期的模型发布风格,甚至使用了与官方相似的README模板,误导开发者和研究人员将其视为合法资源。一旦用户下载并执行其中包含的“安全验证”脚本,恶意代码便会静默安装间谍软件,窃取浏览器密码、加密货币钱包、系统凭证等敏感信息,并通过加密通道外传。
“这类攻击利用了开发者对知名AI公司的高度信任,本质上是一场社会工程学与供应链漏洞的复合攻击。”——HiddenLayer首席安全研究员在报告中指出。
影响评估:24万次下载背后的隐忧
Hugging Face作为全球最大的开源AI模型托管平台,承载了数百万个预训练模型和数据集,是AI开发者的核心基础设施。此次事件并非孤例:2024年至今,已有多起针对PyPI、npm、Docker Hub等开源生态的投毒攻击被披露。此次恶意软件下载量虽可能被稀释,但即使仅1%的用户实际执行了恶意代码,也意味着超过2400台设备被感染。受影响的系统可能包括企业AI实验室、学术机构乃至个人开发者设备,数据泄露后果难以估量。
值得注意的是,Hugging Face在收到举报后迅速移除了该仓库,但平台当前的自动化安全扫描机制仍存在盲区——恶意代码往往隐藏在模型权重文件的非结构化二进制数据中,传统静态扫描难以全面覆盖。
编者按:AI供应链安全的“阿喀琉斯之踵”
当我们热衷于从Hugging Face一键下载Llama 3、Stable Diffusion等明星模型时,很少有人思考:这些经过社区“信任背书”的仓库是否真的安全?此次事件暴露了AI领域特有的信任传递风险:开发者无意间将第三方模型的发布者等同于官方渠道,忽略了最基本的校验手段。实际上,OpenAI从未在Hugging Face上直接发布GPT系列模型,官方模型均通过自有API或GitHub Release获取。
要防范类似攻击,建议AI从业者至少做到:1)核对模型发布者的官方域名和身份认证;2)对下载的模型进行哈希校验(若发布者未提供,应保持警惕);3)在隔离环境(如容器或沙箱)中先行运行可疑脚本;4)订阅平台的安全公告。Hugging Face也需进一步强化上传审核机制,引入模型签名、行为沙箱检测等纵深防御能力。
本文编译自AI News
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接