Hugging Face et ClawHub compromis : malware dans des centaines de modèles AI

Ce Qui S'est Passé

Hugging Face est le référentiel central où plus d'un million de modèles de ML sont stockés, utilisés par pratiquement toutes les entreprises d'IA de la planète. Il a été découvert que parmi eux se trouvent des centaines de modèles malveillants déguisés en modèles légitimes. C'est la première attaque majeure de la chaîne d'approvisionnement contre l'infrastructure d'IA. Les modèles malveillants ont été découverts en raison d'une sécurité mal configurée. Hugging Face permet à n'importe quel utilisateur de télécharger des modèles, et cela a été exploité par des attaquants. ClawHub, un référentiel de compétences d'agent, a également été compromis par des modules téléchargés par les utilisateurs.

Ampleur de l'Attaque

• Des centaines de modèles malveillants dans Hugging Face
• Cachés parmi plus d'un million de modèles légitimes
• Affectent les API et les projets privés des développeurs
• ClawHub et d'autres référentiels sont également compromis
• Première attaque systématique contre l'infrastructure de ML

Comment Fonctionne le Malware

Le malware entre dans le modèle au stade du téléchargement. Lorsqu'un développeur télécharge un modèle via le SDK Hugging Face ou l'importe dans le code, l'initialisation se produit. C'est à ce stade que le code malveillant s'exécute. Ce qu'il peut faire : exécuter du code arbitraire sur la machine, voler les données de l'environnement de travail du développeur, installer des portes dérobées pour l'accès à distance, compromettre les systèmes de production lors du déploiement d'un modèle infecté, se propager aux projets dépendants via la chaîne de dépendances.

Pourquoi C'est Dangereux

Les développeurs d'IA traitent Hugging Face comme l'équivalent de npm ou PyPI — ils téléchargent des modèles comme des dépendances sans vérifier le code. Personne n'examine manuellement le contenu des modèles de ML car c'est impossible à grande échelle. Un modèle malveillant peut rester dormant dans un système de production pendant des mois, attendant une condition spécifique, ou fonctionner secrètement, collectant progressivement des données. C'est une attaque classique de la chaîne d'approvisionnement, mais dans le contexte de l'IA, c'est encore plus dangereux car ce n'est pas une bibliothèque qui est infectée, mais un code prêt à exécuter avec des privilèges complets.

Ce Que Cela Signifie

L'infrastructure de développement de l'IA est devenue une cible sérieuse. L'industrie a besoin de mesures urgentes : mécanismes pour vérifier le code du modèle, isolement de l'exécution lors du chargement, exigences plus strictes pour le téléchargement dans les référentiels centraux. Cela deviendra une condition nécessaire pour travailler avec des modèles ouverts.