Hugging Face托管伪装成OpenAI版本的恶意软件

近日，人工智能安全公司HiddenLayer的研究揭示了一起针对AI开发社区的供应链攻击事件。攻击者在Hugging Face平台上创建了一个名为'Open-OSS/privacy-filter'的仓库，它伪装成OpenAI的Privacy Filter发布版本。该仓库实际上包含一个恶意加载脚本loader.py，能够在Windows系统上执行信息窃取恶意软件。根据统计，该仓库在被移除前记录了大约244,000次下载，但研究人员指出，这些数字可能被攻击者人为夸大，以制造虚假的流行度。

该恶意仓库在极短时间内攀升至Hugging Face的'趋势'列表首位，获得了667个点赞，这一数据同样可能被篡改。HiddenLayer分析发现，恶意负载是一个基于Rust语言编写的信息窃取器，针对Chromium和Firefox浏览器、Discord本地存储、加密货币钱包、FileZilla配置以及主机系统信息等敏感数据。此外，恶意软件还会尝试禁用Windows的防恶意软件扫描接口和事件追踪功能。

值得注意的是，攻击者通过一个看似合法的Microsoft Edge更新计划任务来维持持久性。研究人员还指出，类似的恶意加载逻辑还出现在另外六个仓库中，表明这是一场有组织的、针对AI开发工作流的攻击活动。专家警告，公共AI模型注册中心正逐渐成为软件供应链中的风险点，因为开发人员经常将模型直接克隆到企业环境中，而这些环境往往可以访问源代码、云凭证和内部系统。

针对此次事件，HiddenLayer建议任何在Windows主机上克隆并运行了'Open-OSS/privacy-filter'仓库中代码的用户，应立即将系统视为已遭到破坏，并建议重新映像系统。同时，即使密码未被本地保存，浏览器会话也可能被利用，攻击者可通过会话cookie绕过多因素认证。Hugging Face已确认该仓库已被移除。

安全公司IDC的高级研究经理Sakshi Grover指出，传统的软件组成分析主要检查依赖清单、库和容器镜像，对于AI仓库中的恶意加载逻辑识别能力有限。她引用IDC的2025年11月FutureScape报告，预测到2027年，60%的自主AI系统应拥有材料清单，帮助企业追踪使用的AI工件及其来源、版本和是否包含可执行组件。