Hugging Face وClawHub مخترقان: برمجيات خبيثة في مئات نماذج AI

Q: Источник материала?

Оригинальная публикация на TNW. Hamidun News обрабатывает и адаптирует материалы с помощью AI.

Q: Когда опубликовано?

2026-05-17. Время чтения: 3 мин.

تم اكتشاف مئات نماذج AI الخبيثة في Hugging Face. وهي مخفية بين أكثر من مليون نموذج شرعي تستخدمها شركات AI. تنفذ البرمجيات الخبيثة تعليمات برمجية عشوائية على أجه

هيئة تحرير Hamidun News

رصد الذكاء الاصطناعي · TNW

2026-05-17· 3 د

Hugging Face وClawHub مخترقان: برمجيات خبيثة في مئات نماذج AI — المصدر: TNW. كولاج: Hamidun News.

◐ استمع للمقال

ما الذي حدث

يُعتبر Hugging Face المستودع المركزي حيث يتم تخزين أكثر من مليون نموذج تعلُّم آلي، تستخدمها عمليًا جميع شركات الذكاء الاصطناعي على الكوكب. تم اكتشاف أنه من بينها مئات النماذج الضارة المقنعة بمظهر نماذج شرعية. وهذا أول هجوم كبير على سلسلة التوريد ضد البنية التحتية للذكاء الاصطناعي. ظهرت النماذج الضارة نتيجة لضعف إجراءات الأمان. يسمح Hugging Face لأي مستخدم برفع النماذج، وقد استغل المهاجمون هذا الثغرة. تم أيضًا اختراق ClawHub، وهو مستودع مهارات الوكيل، من خلال الوحدات المرفوعة من قبل المستخدمين.

نطاق الهجوم

مئات النماذج الضارة في Hugging Face
مختبئة بين أكثر من مليون نموذج شرعي
تؤثر على واجهات برمجية المطورين والمشاريع الخاصة
تم اختراق ClawHub والمستودعات الأخرى
أول هجوم منظم على البنية التحتية للتعلم الآلي

كيف يعمل البرنامج الضار

يدخل البرنامج الضار النموذج في مرحلة الرفع. عندما يقوم المطور بتنزيل نموذج عبر حزمة البرامج Hugging Face أو استيراده في الكود، يحدث التهيئة. في هذه المرحلة بالذات ينفذ الكود الضار. ما يمكن أن يفعله: تنفيذ كود تعسفي على الجهاز، سرقة البيانات من بيئة عمل المطور، تثبيت أبواب خلفية للوصول عن بعد، تعريض أنظمة الإنتاج للخطر عند نشر نموذج مصاب، الانتشار إلى المشاريع التابعة من خلال سلسلة التبعيات.

لماذا هذا خطير

يتعامل مطورو الذكاء الاصطناعي مع Hugging Face كمكافئ لـ npm أو PyPI — ينزلون النماذج مثل التبعيات دون التحقق من الكود. لا أحد يراجع محتوى نماذج التعلم الآلي يدويًا لأن هذا مستحيل على نطاق واسع. يمكن أن يبقى النموذج الضار نائمًا في نظام الإنتاج لأشهر، في انتظار شرط معين، أو أن يعمل بشكل سري، جاهزًا لجمع البيانات تدريجيًا. هذا هجوم تقليدي على سلسلة التوريد، لكنه في سياق الذكاء الاصطناعي أكثر خطورة، لأنه ليس مكتبة هي المُصابة، بل كود جاهز للتنفيذ بصلاحيات كاملة.

ما يعنيه هذا

أصبحت البنية التحتية لتطوير الذكاء الاصطناعي هدفًا خطيرًا. تحتاج الصناعة إلى إجراءات عاجلة: آليات للتحقق من كود النموذج، عزل التنفيذ عند التحميل، متطلبات أكثر صرامة لرفع المستودعات المركزية. سيصبح هذا متطلبًا ضروريًا للعمل مع النماذج المفتوحة.

Hamidun News

أخبار الذكاء الاصطناعي بدون ضوضاء. اختيار تحريري يومي من أكثر من 400 مصدر. منتج من جمال حميدون، رئيس الذكاء الاصطناعي في Alpina Digital.

قناة Telegram RSS hamidun.com

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

🎓 Academy — 7 дней бесплатно Бесплатная консультация