Hugging Face託管偽裝成OpenAI版本的惡意軟件

近日，人工智能安全公司HiddenLayer的研究揭示了一起針對AI開發社區的供應鏈攻擊事件。攻擊者在Hugging Face平台上創建了一個名為'Open-OSS/privacy-filter'的倉庫，它偽裝成OpenAI的Privacy Filter發佈版本。該倉庫實際上包含一個惡意加載腳本loader.py，能夠在Windows系統上執行信息竊取惡意軟件。根據統計，該倉庫在被移除前記錄了大約244,000次下載，但研究人員指出，這些數字可能被攻擊者人為誇大，以製造虛假的流行度。

該惡意倉庫在極短時間內攀升至Hugging Face的'趨勢'列表首位，獲得了667個點贊，這一數據同樣可能被篡改。HiddenLayer分析發現，惡意負載是一個基於Rust語言編寫的信息竊取器，針對Chromium和Firefox瀏覽器、Discord本地存儲、加密貨幣錢包、FileZilla配置以及主機系統信息等敏感數據。此外，惡意軟件還會嘗試禁用Windows的防惡意軟件掃描接口和事件追蹤功能。

值得注意的是，攻擊者通過一個看似合法的Microsoft Edge更新計劃任務來維持持久性。研究人員還指出，類似的惡意加載邏輯還出現在另外六個倉庫中，表明這是一場有組織的、針對AI開發工作流的攻擊活動。專家警告，公共AI模型註冊中心正逐漸成為軟件供應鏈中的風險點，因為開發人員經常將模型直接克隆到企業環境中，而這些環境往往可以訪問源代碼、雲憑證和內部系統。

針對此次事件，HiddenLayer建議任何在Windows主機上克隆並運行了'Open-OSS/privacy-filter'倉庫中代碼的用户，應立即將系統視為已遭到破壞，並建議重新映像系統。同時，即使密碼未被本地保存，瀏覽器會話也可能被利用，攻擊者可通過會話cookie繞過多因素認證。Hugging Face已確認該倉庫已被移除。

安全公司IDC的高級研究經理Sakshi Grover指出，傳統的軟件組成分析主要檢查依賴清單、庫和容器鏡像，對於AI倉庫中的惡意加載邏輯識別能力有限。她引用IDC的2025年11月FutureScape報告，預測到2027年，60%的自主AI系統應擁有材料清單，幫助企業追蹤使用的AI工件及其來源、版本和是否包含可執行組件。