Hugging Face e ClawHub comprometidos: malware em centenas de modelos de AI
Centenas de modelos de AI maliciosos foram encontrados no Hugging Face. Eles estão ocultos entre mais de um milhão de modelos legítimos usados por empresas…
Processado por IA de TNW; editado por Hamidun News
O Que Aconteceu
Hugging Face é o repositório central onde mais de um milhão de modelos de ML são armazenados, utilizados por praticamente todas as empresas de IA do planeta. Foi descoberto que entre eles há centenas de modelos maliciosos disfarçados de legítimos. Este é o primeiro grande ataque da cadeia de suprimentos contra a infraestrutura de IA. Os modelos maliciosos foram descobertos como resultado de uma segurança configurada incorretamente. Hugging Face permite que qualquer usuário faça upload de modelos, e isso foi explorado por atacantes. ClawHub, um repositório de habilidades de agentes, também foi comprometido através de módulos carregados por usuários.
Escala do Ataque
- Centenas de modelos maliciosos no Hugging Face
- Ocultos entre mais de um milhão de modelos legítimos
- Afetam APIs de desenvolvedores e projetos privados
- ClawHub e outros repositórios também foram comprometidos
- Primeiro ataque sistemático contra a infraestrutura de ML
Como o Malware Funciona
O malware entra no modelo no estágio de upload. Quando um desenvolvedor baixa um modelo via SDK do Hugging Face ou o importa para o código, a inicialização ocorre. É nesta fase que o código malicioso é executado. O que ele pode fazer: executar código arbitrário na máquina, roubar dados do ambiente de trabalho do desenvolvedor, instalar backdoors para acesso remoto, comprometer sistemas de produção ao fazer deploy de um modelo infectado, propagar-se para projetos dependentes através da cadeia de dependências.
Por Que Isso É Perigoso
Desenvolvedores de IA tratam Hugging Face como equivalente a npm ou PyPI — baixam modelos como dependências sem verificar o código. Ninguém revisa manualmente o conteúdo dos modelos de ML porque é impossível em escala. Um modelo malicioso pode ficar adormecido em um sistema de produção por meses, aguardando uma condição específica, ou funcionar encobertamente, coletando dados gradualmente. Este é um ataque clássico da cadeia de suprimentos, mas no contexto de IA é ainda mais perigoso porque não é uma biblioteca que está infectada, mas código pronto para executar com privilégios totais.
O Que Isso Significa
A infraestrutura de desenvolvimento de IA tornou-se um alvo sério. A indústria precisa de medidas urgentes: mecanismos para verificar o código dos modelos, isolamento de execução ao carregar, requisitos mais rigorosos para upload em repositórios centrais. Isso se tornará um requisito necessário para trabalhar com modelos abertos.
Precisa de IA funcionando dentro da sua empresa — não só no feed de notícias?
Eu construo IA em produção para empresas — CRM sob medida, ferramentas internas, agentes autônomos, automação de processos. Pertence a você, moldada ao seu processo, sem taxa por usuário. Feito por Zhemal Khamidun, CPO da AlpinaGPT (plataforma de IA, 6.000+ usuários).
O essencial da IA — uma vez por semana
Sete histórias que realmente importaram, escolhidas a dedo. Sem ruído nem releases.
Pronto! Verifique seu e-mail para a confirmação.