安全公司 HiddenLayer 週二報告 Hugging Face 上的惡意包 ——「Open-OSS/privacy-filter」—— 透過克隆 OpenAI 合法 Privacy Filter 專案的 README,累計了大約 244,000 次下載和 667 個讚。該包搭載一個 `loader.py`,運行 PowerShell 命令獲取基於 Rust 的資訊竊取器,針對 Windows 主機上的瀏覽器、Discord 會話、加密貨幣錢包和系統資訊。Hugging Face 在報告後移除了倉庫。HiddenLayer 指出,下載數「可能被攻擊者人為膨脹以使模型看起來更受歡迎」,但該包仍在 18 小時內達到頂級 trending 狀態。任何實際執行 `loader.py` 的人被建議將其系統視為已受損。
攻擊向量並不新穎 —— 這是 AI 市場安全研究人員兩年來一直標記的相同形式:typosquatted 命名空間、克隆的 README、隱藏在 Python 檔案中的惡意 loader 程式碼,而不是人們下載的模型權重。具體而言,`loader.py` 停用 SSL 驗證、base64 解碼 URL、下載批次檔案,並透過冒充 Microsoft Edge 更新的排程任務建立持久性。Rust 資訊竊取器有效載荷是當代的 commodity-malware 形式 —— 瀏覽器 cookie、Discord 令牌、加密錢包 `.dat` 檔案、系統指紋 —— 在數十個不同的活動中銷售和重用。HiddenLayer 報告了;Hugging Face 的回應是報告後下架,不是 trending 前偵測。244,000 下載數是每個人都應該暫停的部分:即使一半是機器人膨脹,那仍然是數萬台可能真實的機器拉取了該包。
Hugging Face 自 2022 年以來一直是開源 AI 模型的事實分發點,具有市場形式 —— 公共倉庫、對匿名友好的發布、允許命名空間搶註、未偵測到的 README 克隆 —— npm、PyPI 和 Docker Hub 過去十年試圖加固。在學術工作首次標記這些問題兩年後(2024 年關於 Hugging Face pickle 漏洞的論文),以及在此期間發生了幾起較小的事件之後,市場仍然沒有在上傳時運行自動 README 相似性偵測、自動命名空間冒充檢查,也沒有在 trending 狀態上設置人工審查前的等待期。Open-OSS/privacy-filter 案例是第一個下載數足夠響亮以強制對話的案例。預計 HiddenLayer/Manifold 風格的 ML 供應鏈安全產品市場將在此基礎上增長 —— Manifold 的 Manifest MCP-server 評分產品(本週單獨宣布)是應用於 MCP 伺服器的相同形式;兩者都在讀取相同的市場差距。
如果你最近從 Hugging Face 安裝了「privacy-filter」模型 —— 特別是來自任何「Open-OSS」命名空間 —— 檢查檔案列表中包含 PowerShell 加 base64 編碼 URL 的 `loader.py`,如果找到,將主機視為已受損:輪換 Discord 令牌、瀏覽器保存的憑證、加密錢包金鑰,以及磁碟上快取的任何內容。更廣泛地說,對生產中使用 Hugging Face 的任何人的教訓:命名空間固定比人們意識到的做了更多工作,而「流行」不是安全信號 —— 18 小時內頂級 trending,有克隆 README 和惡意 loader 是威脅形式,不是異常。觀察 HF 是否在下個季度交付命名空間冒充偵測和 trending 前審查控件;如果不,第三方掃描器市場(HiddenLayer、Manifold,以及他們身後的浪潮)是賭注。