Hugging Face 上发现伪装成 OpenAI 官方版本的恶意 AI 模型

恶意 拥抱脸 一个冒充 OpenAI 官方版本的仓库发布了 信息窃取恶意软件 到 Windows 机器——累计约 下载量：244,000 在被移除之前。根据人工智能安全公司的研究。 隐藏层攻击者可能人为地夸大了下载次数，以使模型看起来更可信，从而导致攻击的真实规模未知。

⚠️ 存储库 'Open-OSS/隐私过滤器' 它高度模仿了 OpenAI 的 Privacy Filter 版本——几乎完全复制了原始模型卡——同时嵌入了恶意代码。 loader.py 该文件获取并执行了 Windows 主机上的凭据窃取恶意软件。

虚假存储库迅速发展 在 Hugging Face 的“热门”榜单中名列前茅累积 不到18小时就获得了667个赞 ——这个数字也可能被攻击者篡改了。

🔗人工智能供应链中日益严重的威胁

公共人工智能模型注册库正日益成为风险所在。 软件供应链开发人员和数据科学家通常会将模型直接克隆到企业环境中——这些环境可以访问…… 源代码、云凭证和内部系统在这种情况下，模型库遭到破坏远不止是件麻烦事那么简单。

该欺诈模型的 README 文件与合法项目非常相似，但关键区别在于它指示用户运行 开始.bat 在 Windows 上或执行 python loader.py 在 Linux 和 macOS 上——这些指令是 HiddenLayer 所描述的感染链的核心。

🔍 之前的警告 已注意到恶意代码可以隐藏在 Hugging Face 和其他公共注册表上的 AI 模型文件或相关设置脚本中——包括绕过平台扫描器的 Pickle 序列化模型文件。

🛠️ 伪装成安装代码的恶意加载器

HiddenLayer 发现 loader.py 首先以类似普通AI模型加载器的诱饵代码打开，然后迅速过渡到隐藏的感染链：

• 🔒 剧本 已禁用 SSL 验证
• 🔗 解码 base64编码的URL 链接 jsonkeeper.com
• 📡 获取远程有效载荷指令并向其传递命令 PowerShell 在 Windows 系统上
• 🔄 已使用 jsonkeeper.com 作为一个 命令与控制通道这使得攻击者能够在不修改存储库的情况下轮换有效载荷。

然后，PowerShell 命令从攻击者控制的域下载了一个额外的批处理文件。恶意软件由此建立连接。 持久性 通过创建一个类似于合法任务的计划任务 Microsoft Edge 更新过程。

💀 最终有效载荷 是一个 基于 Rust 的信息窃取器 攻击目标：基于 Chromium 和 Firefox 的浏览器、Discord 本地存储、加密货币钱包、FileZilla 配置以及主机系统数据。它还试图…… 禁用 Windows 反恶意软件扫描接口 (AMSI) 和事件跟踪。

🌐 更广泛的活动揭晓

已识别的隐藏层 六个额外的 Hugging Face 存储库 包含几乎完全相同的加载器逻辑，与主要攻击者共享基础设施。此前已有关于 Hugging Face 恶意 AI 模型的警告，包括 被污染的AI SDK 和 伪造的 OpenClaw 安装程序。

共同点： 攻击者将人工智能开发工作流程视为入侵通常安全环境的途径。 AI 代码库通常包含可执行代码、安装说明、依赖文件、笔记本和脚本——而正是这些外围元素，而不是模型本身，引入了风险。

📊 萨克希·格罗弗IDC网络安全服务高级研究经理指出，传统的软件成分分析（SCA）旨在检查依赖清单、库和容器镜像——这使得它无法有效地分析软件成分。 在识别人工智能代码库中的恶意加载器逻辑方面效果较差。

IDC的 2025年11月未来展望 报告预测，到 到2027年，60%的智能体人工智能系统应具备物料清单。 — 帮助公司跟踪 AI 制品、其来源、已批准的版本以及它们是否包含可执行组件。

🚨应对与缓解

HiddenLayer建议所有克隆者 Open-OSS/隐私过滤器 然后跑 开始.bat， python loader.py或者从 Windows 主机上的存储库中获取任何文件 将系统视为完全被攻破。 并建议 重新映像受影响的系统。

• 🍪 浏览器会话应被视为已遭入侵。 即使密码未存储在本地，会话 cookie 也可能在某些情况下允许攻击者绕过多因素身份验证 (MFA)。
• ✅ Hugging Face 已确认 该存储库已被移除

图片来源：Pixabay，已获得授权。

想向行业领袖学习更多关于人工智能和大数据方面的知识吗？请查看以下内容： 人工智能与大数据博览会 将在阿姆斯特丹、加利福尼亚和伦敦举行——这是其中的一部分 TechEx 并与其他领先的技术盛会同期举办。

AI News 由 AI 提供支持 TechForge Media探索其他即将举行的企业技术活动和网络研讨会 这里。