当热门榜第一名是恶意软件:Hugging Face 上的 Open-OSS/privacy-filter 仿冒事件
2026 年 5 月 7 日,HiddenLayer 发现 Open-OSS/privacy-filter——一个仿冒 OpenAI 模型的仓库,18 小时内冲上 Hugging Face 热门榜首、约 24.4 万次下载,并投递一个 Rust 信息窃取程序。
这是什么?
2026 年 5 月 7 日,HiddenLayer 研究团队披露了一个名为 Open-OSS/privacy-filter 的恶意 Hugging Face 仓库。它仿冒 OpenAI 的正版 openai/privacy-filter 发布(一个 2026 年 4 月推出的个人信息脱敏模型),几乎逐字复制了其模型卡,并附带一个 loader.py 脚本,会下载并在受害者机器上执行信息窃取程序。
使这起事件值得研究的并不是恶意软件本身,而是它的分发方式。在 Hugging Face 将其下架之前,该仓库登上了热门榜第一名,在不到 18 小时内获得约 24.4 万次下载和 667 个点赞——HiddenLayer 评估这些数字几乎可以肯定是由虚假账号刷出来制造可信度的。The Hacker News 与 CSO Online 在次周报道了同一发现。这是我们在 Transformers 配置注入 RCE 中描述的静默代码路径的”社会工程”对应版本:在那里,加载模型即可触发;在这里,攻击者需要诱使你运行脚本——但仍然拿到了二十五万次下载。
它是如何运作的
与反序列化漏洞不同,这次攻击需要用户操作:README 指示用户克隆仓库并运行 start.bat(Windows)或 python loader.py。HiddenLayer 记录的执行链分为若干阶段,我们在此仅从防御指标层面描述,不进行复现:
- 诱饵加载器。
loader.py先运行看似无害的代码(一个虚拟类、伪造的训练输出)以显得正常。 - 死信箱解析器。 随后它关闭 SSL 验证,解码一个指向公共 JSON 粘贴服务(
jsonkeeper[.]com)的 Base64 URL,并从中取出一条命令。使用粘贴服务作为命令通道,使操作者无需改动仓库即可更换载荷。 - 隐藏的 PowerShell。 取回的命令通过带
-WindowStyle Hidden和CREATE_NO_WINDOW的 PowerShell 执行,不显示任何内容。此阶段仅限 Windows;在 Linux/macOS 上调用会静默失败。 - 第二阶段下载器。 一个批处理文件(
update.bat)通过 UAC 提示自我提权,添加 Microsoft Defender 排除项,然后从api.eth-fastscan[.]org获取最终二进制文件。 - 一次性 SYSTEM 启动器。 一个伪装成 Edge 更新程序的计划任务以 SYSTEM 身份运行载荷,随后在两秒后自删——没有持久化,只是一次特权执行。
- Rust 信息窃取程序。 最终载荷(约 1 MB)进行反虚拟机/反调试检查,尝试禁用 AMSI 和 ETW,并窃取浏览器 cookie 与凭据、Discord 令牌、加密货币钱包、SSH/FTP 密钥及屏幕截图,全部以 JSON 形式经 HTTPS 外传。
HiddenLayer 还关联到 anthfu 账号下另外六个仓库,复用了相同的加载器和命令 URL,并将该基础设施与传播 Winos 4.0 / ValleyRAT 植入体的活动联系起来——这是一场针对开源生态的更大规模行动的证据,而非孤例。
为什么重要
教训关乎信任信号,而非某个具体漏洞。 下载量、点赞数和热门排名,正是从业者用来判断模型是否安全的启发式指标——而这恰恰是攻击者伪造的对象。平台自身的发现机制(热门榜及其推荐逻辑)替攻击者完成了定向投放,把恶意仓库推到了所有人的信息流顶端。
这也击碎了一个令人安心的假设:即”恶意模型不会获得大规模分发”。它在 18 小时内冲到了第一名。结合 Transformers 配置注入的静默 RCE 和 GGUF 解析器反复出现的 RCE,结论很清楚:模型仓库同时是不可信的代码与不可信的数据——无论你用 from_pretrained() 加载它,还是照着它的 README 操作。同样的动力学也催生了我们在 SKILL.md 中的隐藏触发器 中描述的技能注册表滥用。
防御措施
- 切勿运行模型仓库中的安装脚本。 合法模型只是权重加配置;它不应要求你执行
start.bat或python loader.py。模型卡中任何”克隆并运行”的指示都是危险信号。 - 核实命名空间,而非名称。 锁定发布方的官方组织(
openai/...,而非Open-OSS/...)。确认组织,而不仅仅是一个看起来对的模型名。仿冒 OpenAI 正是整个攻击的核心。 - 不要把热门榜和下载量当作信任信号。 它们可被操纵,本次即被操纵。重要的是来源与签名发布,而非热度。
- 在隔离环境中加载并评估模型。 在沙箱容器中进行任何模型的首次接触,不带宿主凭据、不带长期云令牌,并施加出站网络控制——这样加载器或恶意配置就无法触及
~/.aws、~/.ssh或互联网。 - 加载前先扫描。 使用模型/仓库扫描工具,在部署前检查可执行脚本、可疑配置字段和已知恶意指标。
- 基于已公布的 IOC 进行狩猎。 HiddenLayer 公布了域名(
api.eth-fastscan[.]org、recargapopular[.]com、jsonkeeper[.]com/b/AVNNE)、文件哈希以及主机痕迹(一个匹配MicrosoftEdgeUpdateTaskCore[a-z0-9]{8}的计划任务)。在出口处封锁这些域名并回溯排查。若某台主机运行过该加载器,应视其为完全失陷,重装系统而非清理。
状态
| 项目 | 详情 |
|---|---|
| 披露时间 | 2026 年 5 月 7 日(HiddenLayer);5 月 11 日被广泛报道 |
| 仓库 | Open-OSS/privacy-filter(外加 6 个 anthfu 仓库)——已被 Hugging Face 下架 |
| 影响范围 | 热门榜第一,约 18 小时内 24.4 万次下载 / 667 点赞(很可能被刷量) |
| 投递方式 | loader.py / start.bat → PowerShell → Rust 信息窃取程序(Windows) |
| 危害 | 窃取凭据、钱包、Discord 与会话 cookie;以 SYSTEM 身份执行 |
| 关联活动 | 与 Winos 4.0 / ValleyRAT 活动共享基础设施 |
要点不是”又一个坏模型被下架”,而是:围绕模型平台的信任启发式——热度、热门榜、被复制的模型卡——本身就是一个攻击面,而唯一持久的防御,是验证来源,并将模型加载与任何值得窃取的资产相隔离。
Sources
- → https://www.hiddenlayer.com/research/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter
- → https://thehackernews.com/2026/05/fake-openai-privacy-filter-repo-hits-1.html
- → https://www.csoonline.com/article/4169407/malicious-hugging-face-model-masquerading-as-openai-release-hits-244k-downloads.html