В Hugging Face обнаружены вредоносные модели ИИ, замаскированные под официальные релизы OpenAI.

Злонамеренный Обнимающее лицо репозиторий, выдающий себя за официальный релиз OpenAI. вредоносное ПО для кражи информации на компьютеры под управлением Windows — накапливая приблизительно 244 000 загрузок перед удалением. Согласно исследованию компании, занимающейся вопросами безопасности с использованием искусственного интеллекта. Скрытый слойВозможно, количество загрузок было искусственно завышено злоумышленниками, чтобы придать модели большую достоверность, поэтому истинный масштаб атаки остается неизвестным.

⚠️ Репозиторий 'Open-OSS/privacy-filter' Они очень точно имитировали выпущенный OpenAI фильтр конфиденциальности — практически в точности скопировав оригинальную модель карты — при этом внедрив вредоносный код. loader.py файл, который загружал и запускал вредоносное ПО для кражи учетных данных на хостах под управлением Windows.

Поддельное хранилище данных стремительно набирало обороты. возглавляет список «трендов» Hugging Face., накапливая 667 лайков менее чем за 18 часов — фигура, которая, возможно, также была использована нападавшими в своих целях.

🔗 Растущая угроза в цепочке поставок ИИ

Общедоступные реестры моделей ИИ все чаще становятся источником рисков. цепочка поставок программного обеспеченияРазработчики и специалисты по анализу данных регулярно клонируют модели непосредственно в корпоративную среду — среду, имеющую доступ к данным. исходный код, учетные данные для доступа к облаку и внутренние системыВ данном контексте скомпрометированное хранилище моделей — это гораздо больше, чем просто неудобство.

Файл README мошеннической модели очень напоминал легитимный проект, но существенно отличался тем, что инструктировал пользователей запускать start.bat в Windows или выполнить python loader.py в Linux и macOS — инструкции, которые были центральными в цепочке заражения, описанной HiddenLayer.

🔍 Предыдущие предупреждения Было отмечено, что вредоносный код может быть скрыт внутри файлов моделей ИИ или связанных с ними скриптов настройки в Hugging Face и других общедоступных реестрах, включая сериализованные с помощью Pickle файлы моделей, которые обходят сканеры платформы.

🛠️ Вредоносный загрузчик, замаскированный под код установки

Компания HiddenLayer обнаружила, что loader.py Вскрытие началось с использованием кода-приманки, напоминающего обычный загрузчик моделей ИИ, после чего быстро перешло к скрытой цепочке заражения:

• 🔒 Сценарий отключена проверка SSL
• 🔗 Расшифровано URL, закодированный в base64 связанный с jsonkeeper.com
• 📡 Получена инструкция удаленной полезной нагрузки и переданы команды. PowerShell в Windows
• 🔄 Б/у jsonkeeper.com как канал управления и контроля, что позволяет злоумышленнику менять полезные нагрузки без изменения репозитория.

Затем команда PowerShell загрузила дополнительный пакетный файл с домена, контролируемого злоумышленником. Вредоносное ПО установило упорство путем создания запланированной задачи, имитирующей законную задачу. Процесс обновления Microsoft Edge.

💀 Финальная полезная нагрузка был Инфопохититель на основе Rust Целевые браузеры: Chromium и Firefox, локальное хранилище Discord, криптовалютные кошельки, конфигурации FileZilla и данные хост-системы. Также предпринимались попытки... Отключите интерфейс сканирования вредоносных программ Windows (AMSI) и трассировку событий..

🌐 Раскрыты более масштабные кампании

Идентифицирован скрытый слой. шесть дополнительных хранилищ "Обнимающих лиц" содержит практически идентичную логику загрузчика, которая использовала ту же инфраструктуру, что и основная атака. Этот случай следует за предыдущими предупреждениями о вредоносных моделях ИИ на Hugging Face, включая отравленные SDK ИИ и поддельные установщики OpenClaw.

Общая нить: Злоумышленники используют рабочие процессы разработки ИИ как способ проникновения в обычно безопасные среды. В репозиториях ИИ часто содержатся исполняемый код, инструкции по настройке, файлы зависимостей, блокноты и скрипты — и именно эти периферийные элементы, а не сами модели, представляют собой риск.

📊 Сакши ГроверСтарший менеджер по исследованиям в области кибербезопасности в IDC отметил, что традиционный анализ состава программного обеспечения (SCA) был разработан для проверки манифестов зависимостей, библиотек и образов контейнеров, что делает его менее эффективно выявляет вредоносную логику загрузчика в репозиториях ИИ..

IDC Ноябрь 2025 г. FutureScape в отчете прогнозируется, что к К 2027 году 60% систем искусственного интеллекта должны иметь спецификацию материалов. — помогая компаниям отслеживать артефакты ИИ, их источники, утвержденные версии и наличие в них исполняемых компонентов.

🚨 Реагирование и смягчение последствий

Компания HiddenLayer советует всем, кто занимался клонированием, принимать соответствующие меры. Open-OSS/privacy-filter и побежал start.bat, python loader.pyили любой файл из репозитория на хосте Windows в рассматривать систему как полностью скомпрометированную и рекомендует переустановка операционной системы на затронутые системы.

• 🍪 Браузерные сессии следует считать скомпрометированными. Даже если пароли не хранятся локально, сессионные cookie-файлы могут позволить злоумышленникам обойти многофакторную аутентификацию при определенных обстоятельствах.
• ✅ Hugging Face подтвердил репозиторий удален

Источник изображения: Pixabay, по лицензии.

Хотите узнать больше об искусственном интеллекте и больших данных от лидеров отрасли? Ознакомьтесь с информацией на сайте. Выставка искусственного интеллекта и больших данных проходит в Амстердаме, Калифорнии и Лондоне — часть TechEx и проводится одновременно с другими ведущими технологическими мероприятиями.

AI News работает на базе TechForge MediaОзнакомьтесь с другими предстоящими мероприятиями и вебинарами, посвященными корпоративным технологиям. здесь.