A firma de segurança HiddenLayer relatou terça-feira que um pacote malicioso no Hugging Face — "Open-OSS/privacy-filter" — havia acumulado aproximadamente 244.000 downloads e 667 likes clonando o README do projeto legítimo OpenAI Privacy Filter. O pacote entregava um `loader.py` que executava comandos PowerShell para buscar um infostealer baseado em Rust mirando navegadores, sessões do Discord, carteiras de criptomoeda e informações do sistema em hosts Windows. O Hugging Face removeu o repo após o relatório. A HiddenLayer nota que a contagem de downloads "pode ter sido artificialmente inflada pelos atacantes para fazer o modelo parecer mais popular", mas o pacote ainda assim alcançou status top trending em menos de 18 horas. A qualquer um que efetivamente executou `loader.py` é aconselhado tratar seu sistema como comprometido.
O vetor de ataque não era novo — é o mesmo formato que pesquisadores de segurança de marketplaces de IA têm sinalizado por dois anos: namespace typosquatted, README clonado, código loader malicioso oculto em um arquivo Python que não é os pesos do modelo pelos quais as pessoas baixam. Especificamente, o `loader.py` desabilitava a verificação SSL, decodificava em base64 uma URL, baixava arquivos batch, e estabelecia persistência via tarefas agendadas se passando por atualizações do Microsoft Edge. O payload infostealer Rust é a forma malware-commodity contemporânea — cookies de navegador, tokens Discord, arquivos `.dat` de carteira cripto, impressões digitais do sistema — vendido e reutilizado em dezenas de campanhas distintas. A HiddenLayer relatou; a resposta do Hugging Face foi takedown-após-relatório, não detecção-antes-do-trending. A contagem de 244.000 downloads é a parte em que todos deveriam pausar: mesmo que metade seja inflação por bots, isso ainda é dezenas de milhares de máquinas provavelmente reais que puxaram o pacote.
O Hugging Face tem sido o ponto de distribuição de fato para modelos de IA open-source desde 2022, com o formato de marketplace — repos públicos, publicação amigável a anônimos, namespace squatting permitido, clonagem de README sem detecção — que npm, PyPI e Docker Hub passaram a última década tentando endurecer. Dois anos depois que trabalho acadêmico primeiro sinalizou esses problemas (os papers de 2024 sobre vulnerabilidades pickle do Hugging Face) e depois de vários incidentes menores no ínterim, o marketplace ainda não executa detecção automática de similaridade de README em uploads, verificações automáticas de impersonação de namespace, nem períodos de espera no status trending até revisão humana. O caso Open-OSS/privacy-filter é o primeiro com números de download fortes o suficiente para forçar a conversa. Esperem um mercado estilo HiddenLayer/Manifold para produtos de segurança de cadeia-de-suprimentos ML crescer nas costas disso — o produto Manifest MCP-server scoring da Manifold (anunciado separadamente esta semana) é o mesmo formato aplicado a servidores MCP; ambos estão lendo o mesmo gap de mercado.
Se você instalou um modelo "privacy-filter" do Hugging Face recentemente — especialmente de qualquer namespace "Open-OSS" — verifique a lista de arquivos por um `loader.py` contendo PowerShell mais URLs codificadas em base64, e se encontrado, trate o host como comprometido: rotacione tokens do Discord, credenciais salvas do navegador, chaves de carteira cripto, e qualquer coisa cacheada em disco. Mais amplamente, a lição para qualquer um usando Hugging Face em produção: o namespace-pinning está fazendo mais trabalho do que as pessoas percebiam, e "popular" não é um sinal de segurança — top-trending em menos de 18 horas com README clonado e loader malicioso é um formato de ameaça, não uma aberração. Observem se a HF entrega detecção de impersonação de namespace e controles de revisão-antes-do-trending no próximo trimestre; se não, o mercado para scanners terceirizados (HiddenLayer, Manifold, e a onda atrás deles) é a aposta.