Hugging Face託管偽裝成OpenAI版本的惡意軟體

近日，人工智慧安全公司HiddenLayer的研究揭示了一起針對AI開發社群的供應鏈攻擊事件。攻擊者在Hugging Face平臺上建立了一個名為'Open-OSS/privacy-filter'的倉庫，它偽裝成OpenAI的Privacy Filter釋出版本。該倉庫實際上包含一個惡意載入指令碼loader.py，能夠在Windows系統上執行資訊竊取惡意軟體。根據統計，該倉庫在被移除前記錄了大約244,000次下載，但研究人員指出，這些數字可能被攻擊者人為誇大，以製造虛假的流行度。

該惡意倉庫在極短時間內攀升至Hugging Face的'趨勢'列表首位，獲得了667個點贊，這一資料同樣可能被篡改。HiddenLayer分析發現，惡意負載是一個基於Rust語言編寫的資訊竊取器，針對Chromium和Firefox瀏覽器、Discord本地儲存、加密貨幣錢包、FileZilla配置以及主機系統資訊等敏感資料。此外，惡意軟體還會嘗試停用Windows的防惡意軟體掃描介面和事件追蹤功能。

值得注意的是，攻擊者透過一個看似合法的Microsoft Edge更新計劃任務來維持永續性。研究人員還指出，類似的惡意載入邏輯還出現在另外六個倉庫中，表明這是一場有組織的、針對AI開發工作流的攻擊活動。專家警告，公共AI模型註冊中心正逐漸成為軟體供應鏈中的風險點，因為開發人員經常將模型直接克隆到企業環境中，而這些環境往往可以訪問原始碼、雲憑證和內部系統。

針對此次事件，HiddenLayer建議任何在Windows主機上克隆並執行了'Open-OSS/privacy-filter'倉庫中程式碼的使用者，應立即將系統視為已遭到破壞，並建議重新映像系統。同時，即使密碼未被本地儲存，瀏覽器會話也可能被利用，攻擊者可透過會話cookie繞過多因素認證。Hugging Face已確認該倉庫已被移除。

安全公司IDC的高階研究經理Sakshi Grover指出，傳統的軟體組成分析主要檢查依賴清單、庫和容器映象，對於AI倉庫中的惡意載入邏輯識別能力有限。她引用IDC的2025年11月FutureScape報告，預測到2027年，60%的自主AI系統應擁有材料清單，幫助企業追蹤使用的AI工件及其來源、版本和是否包含可執行元件。