Hugging FaceでOpenAIリリースを装った悪意あるソフトウェアが発見される

AIセキュリティ企業HiddenLayerの研究により、Hugging Face上でOpenAIのリリースを装った悪意あるリポジトリが発見されました。'Open-OSS/privacy-filter'という名前のこのリポジトリは、OpenAIのPrivacy Filterを模倣し、Windowsマシンに情報窃取型マルウェアを配布していました。削除されるまでに約244,000回のダウンロードが記録されましたが、この数字は攻撃者によって人為的に水増しされた可能性があると研究者は指摘しています。

この悪意あるリポジトリは、わずか18時間未満でHugging Faceのトレンドリストのトップに達し、667のいいねを獲得しました。しかし、このいいね数も操作された可能性があります。HiddenLayerの分析によると、マルウェアのペイロードはRustベースの情報窃取型であり、ChromiumおよびFirefoxベースのブラウザ、Discordのローカルストレージ、暗号通貨ウォレット、FileZillaの設定、ホストシステム情報などを標的にしていました。また、Windowsのアンチマルウェアスキャンインターフェースやイベントトレーシングを無効化しようとしました。

攻撃者は、正規のMicrosoft Edgeアップデートプロセスを装ったスケジュールタスクを作成することで、マルウェアの永続性を確保していました。HiddenLayerは、同様のローダーロジックを持つさらに6つのリポジトリを特定し、AI開発ワークフローを標的にした広範なキャンペーンが進行中であると警告しています。専門家は、公共のAIモデルレジストリがサプライチェーンリスクをもたらすと述べており、開発者がモデルを企業環境に直接クローンすることで、ソースコードやクラウド認証情報、内部システムへのアクセスが危険にさらされる可能性があるとしています。

このインシデントに対し、HiddenLayerは、'Open-OSS/privacy-filter' リポジトリをクローンし、Windowsホスト上でstart.batやpython loader.pyなどを実行したユーザーに対し、システムを侵害済みと見なして再イメージングするよう推奨しています。また、パスワードがローカルに保存されていない場合でも、ブラウザセッションが悪用される可能性があるため、注意が必要です。Hugging Faceは、該当リポジトリが削除されたことを確認しています。

セキュリティ企業IDCのシニアリサーチマネージャー、Sakshi Grover氏は、従来のソフトウェア構成分析は依存関係マニフェストやライブラリ、コンテナイメージを検査するように設計されており、AIリポジトリ内の悪意あるローダーロジックを特定する効果は低いと指摘しています。同氏は、IDCの2025年11月のFutureScapeレポートを引用し、2027年までにエージェンティックAIシステムの60%が部品表を持つべきだと予測しており、これにより企業が使用するAIアーティファクトの追跡が容易になると述べています。