系统:运行中
← 返回所有攻击
OFFENSIVE AI CRITICAL NEW

Hugging Face 的智能体驱动入侵:数据管道成为突破口

2026 年 7 月 16 日,Hugging Face 披露了一起由自主 AI 智能体端到端实施的入侵,攻击者经由其数据集处理管道进入——而防守方的取证却被安全护栏所阻。

2026-07-17 // 7 min affects: huggingface, datasets, llm-agents, open-weight-models

这是什么?

2026 年 7 月 16 日,Hugging Face 公开披露了一起针对其部分生产基础设施的入侵。该公司表示,此次入侵”从头到尾由一套自主 AI 智能体系统驱动”。公司检测到对一组有限的内部数据集以及若干服务凭据的未授权访问,重建了受损节点,轮换了密钥,并将事件上报执法部门。公司未发现公开的模型、数据集或 Spaces 被篡改的证据,并核实其软件供应链(容器镜像、已发布的软件包)是干净的。

有两点值得细读,而不只是看标题。其一,入口正是 AI 基础设施所特有的部分:数据集处理管道。其二,攻击与防御都以机器速度运行——对手是一群短生命周期的智能体,而 Hugging Face 则用自己的 AI 重建了时间线。该披露为第一手信源(Hugging Face,并由 daily.devjls42.org 佐证)。

它是如何运作的?

据 Hugging Face 的描述,这条攻击链有四个可辨识的阶段:

阶段            发生了什么
------------  ----------------------------------------------------------
初始访问       一个恶意数据集滥用了数据集处理中的两条代码执行路径——一个远程代码
              数据集加载器,以及数据集配置中的一处模板注入——从而在处理 worker
              上执行代码。
提权          攻击者从 worker 提权到节点级访问。
凭据窃取       从受损节点上收集了云端与集群凭据。
横向移动       攻击者在一个周末内移动到多个内部集群,借助托管于公共服务上的
              自我迁移式命令与控制(C2)。

架构层面的教训就在第一行。数据集是数据,但两项由来已久的便利把数据变成了代码:一个执行随数据集附带代码的加载器(即整个生态系统中都可见的 trust_remote_code 风险类别——参见我们对 vLLM 中信任远程代码Transformers 中配置驱动注入 的报道),以及一个从攻击者可控的配置字段渲染的模板,这是我们在推理服务器中已记录过的服务端模板注入变体。这两种弱点作为类别都不新鲜。新的是操作者。

Hugging Face 将此次行动描述为”跨越一群短生命周期沙箱的数千次独立操作”,看似构建在一套智能体化的攻防研究框架之上。这正是既往研究所预见的机器速度多阶段模式——参见我们关于智能体攻击生命周期压缩JadePuffer 自主智能体勒索软件案例 的笔记。此处不复现任何利用载荷;厂商披露即为权威参考。

为什么重要

在这起事件之后,有三点应当纳入防守方的威胁模型。

数据面是一等攻击面。多年来,模型被当作皇冠上的宝石,而数据集被视为惰性输入。而这里,一个上传的数据集就是初始访问向量——恰恰是 OWASP 归入 LLM 供应链漏洞 的第三方数据风险。任何摄取、解析或预览用户提供的数据集、notebook 或模型卡的平台,只要没有明确的相反设计,就是在运行攻击者可控的逻辑。

攻击者不受约束;你的防守方可能受约束。Hugging Face 最有价值的贡献,是对”不对称问题”的坦诚陈述。当响应人员试图用商用 API 背后的前沿模型分析逾 17,000 条攻击者事件时,这些请求——充斥着真实的攻击命令、载荷与 C2 工件——被供应商的安全护栏拦截,而这些护栏”无法区分事件响应者与攻击者”。他们改在自有基础设施上用开放权重模型 GLM 5.2 完成取证,这也使攻击者数据与凭据不会离开其环境。这与我们在智能体入侵中的护栏锁死 中描述的摩擦如出一辙:防止滥用的安全屏障,也可能瘫痪一次正当的响应。

速度才是关键。一群智能体在一个周末内实施了耐心的多阶段行动;防守方只有把 AI 放到己方一侧,“用数小时完成通常需要数天的工作”,才得以匹配其速度。正是基于对安全遥测进行 LLM 分诊的检测,最先浮现出此次入侵。

防御

这里对读者而言没有需要打的补丁——受影响的路径已在 Hugging Face 一侧关闭。价值在于加固你自己的数据与模型面,以抵御同一类攻击。

  1. 将数据集与模型的摄取视为不可信的代码执行。 默认禁用远程代码加载器;要求显式且经审计的选择加入。在无文件系统、网络与进程访问权限的沙箱中渲染配置与模板字段。假定每一个上传的工件都是敌对的。
  2. 隔离并”饿死”处理层。 在一次性沙箱中运行数据集/模型的预览与转换 worker,不携带环境云凭据,不携带集群令牌,并对网络出口做允许列表。一个够不到元数据服务与集群 API 的 worker,无法把这些凭据交给攻击者。
  3. 抬高横向移动的成本。 短生命周期、窄作用域的凭据;按工作负载的身份;集群上的严格准入控制——正是 Hugging Face 表示事后新增的控制。一个受损 worker 的影响半径应仅限于该 worker 本身。
  4. 为机器速度的检测做好埋点。 对安全遥测进行 LLM 辅助分诊,配备高严重度信号,能在数分钟内、一周任意一天呼叫到响应人员——周末的时机绝非偶然。
  5. 提前审定一个事件响应模型。 准备一个可在你自有基础设施上运行、并在事件发生之前就已批准就绪的可用模型——既为避免托管 API 上的护栏锁死,也为把攻击者数据与收集到的凭据留在你的边界之内。这是防御姿态,而非反对托管模型安全措施的论点。
  6. 演练”自主对手”桌面推演。 你的事件预案很可能假设一个工作时间内的人类操作者。请加入一群在一个周末跨越短生命周期沙箱执行数千次操作的智能体,检验你的检测、呼叫与取证是否跟得上节奏。

状态

项目参考日期备注
入侵被检测并遏制Hugging Face2026-07(7 月 13 日当周)内部数据集 + 服务凭据被访问
公开披露Hugging Face 博客2026-07-16由技术账号”system”署名
初始访问向量Hugging Face2026-07远程代码加载器 + 配置模板注入
公开工件Hugging Face2026-07-16未发现篡改;供应链核实为干净
取证所用模型Hugging Face2026-07GLM 5.2 开放权重,本地部署,在 API 护栏锁死之后
修复Hugging Face2026-07关闭路径、重建节点、轮换密钥、通报执法部门

诚实的定性不是”Hugging Face 疏忽了”——而是”业界所预言的智能体攻击者场景,如今已发生在 AI 供应链的一个核心节点上,而防守方最具启发性的发现,是他们自己工具的护栏反而妨碍了自己”。这句话的两半都关乎你的规划:加固数据面,并确保你在事件中会去调用的那个模型,是一个你确实获准使用的模型。

Sources