Hugging Face e ClawHub comprometidos: malware em centenas de modelos de AI

O Que Aconteceu

Hugging Face é o repositório central onde mais de um milhão de modelos de ML são armazenados, utilizados por praticamente todas as empresas de IA do planeta. Foi descoberto que entre eles há centenas de modelos maliciosos disfarçados de legítimos. Este é o primeiro grande ataque da cadeia de suprimentos contra a infraestrutura de IA. Os modelos maliciosos foram descobertos como resultado de uma segurança configurada incorretamente. Hugging Face permite que qualquer usuário faça upload de modelos, e isso foi explorado por atacantes. ClawHub, um repositório de habilidades de agentes, também foi comprometido através de módulos carregados por usuários.

Escala do Ataque

• Centenas de modelos maliciosos no Hugging Face
• Ocultos entre mais de um milhão de modelos legítimos
• Afetam APIs de desenvolvedores e projetos privados
• ClawHub e outros repositórios também foram comprometidos
• Primeiro ataque sistemático contra a infraestrutura de ML

Como o Malware Funciona

O malware entra no modelo no estágio de upload. Quando um desenvolvedor baixa um modelo via SDK do Hugging Face ou o importa para o código, a inicialização ocorre. É nesta fase que o código malicioso é executado. O que ele pode fazer: executar código arbitrário na máquina, roubar dados do ambiente de trabalho do desenvolvedor, instalar backdoors para acesso remoto, comprometer sistemas de produção ao fazer deploy de um modelo infectado, propagar-se para projetos dependentes através da cadeia de dependências.

Por Que Isso É Perigoso

Desenvolvedores de IA tratam Hugging Face como equivalente a npm ou PyPI — baixam modelos como dependências sem verificar o código. Ninguém revisa manualmente o conteúdo dos modelos de ML porque é impossível em escala. Um modelo malicioso pode ficar adormecido em um sistema de produção por meses, aguardando uma condição específica, ou funcionar encobertamente, coletando dados gradualmente. Este é um ataque clássico da cadeia de suprimentos, mas no contexto de IA é ainda mais perigoso porque não é uma biblioteca que está infectada, mas código pronto para executar com privilégios totais.

O Que Isso Significa

A infraestrutura de desenvolvimento de IA tornou-se um alvo sério. A indústria precisa de medidas urgentes: mecanismos para verificar o código dos modelos, isolamento de execução ao carregar, requisitos mais rigorosos para upload em repositórios centrais. Isso se tornará um requisito necessário para trabalhar com modelos abertos.