Содержание
Hugging Face раскрыла AI-атаку на свою инфраструктуру
Hugging Face опубликовала разбор инцидента безопасности за июль 2026 года: компания обнаружила вторжение в часть своей продакшен-инфраструктуры, которое, по ее оценке, было выполнено автономной AI-agent системой. Это важный сигнал для всех, кто хранит модели, датасеты, Spaces и рабочие токены на AI-платформах.
По данным Hugging Face, злоумышленник получил несанкционированный доступ к ограниченному набору внутренних датасетов и нескольким учетным данным сервисов. Компания подчеркивает, что не нашла признаков изменения публичных моделей, датасетов, Spaces, контейнерных образов или опубликованных пакетов.
Как началась атака
Точкой входа стала обработка датасетов: вредоносный датасет использовал два пути выполнения кода в пайплайне обработки, включая remote-code loader и template injection в конфигурации датасета. После этого атакующий получил доступ на уровне узла, собрал облачные и кластерные credentials и перемещался по нескольким внутренним кластерам.
Hugging Face описывает кампанию как работу автономного агентного фреймворка: тысячи действий запускались через короткоживущие песочницы, а управление было развернуто на публичных сервисах. То есть сценарий «AI-атаки на машинной скорости» уже перестал быть теорией.
Что уже сделала Hugging Face
Компания закрыла уязвимые пути выполнения кода, удалила закрепления атакующего в затронутых кластерах, пересобрала скомпрометированные узлы, отозвала и ротировала затронутые токены и начала более широкую превентивную ротацию секретов. Также добавлены более строгие admission controls и улучшены алерты, чтобы критичные сигналы доходили до дежурных за минуты.
Что важно пользователям
Hugging Face рекомендует в качестве меры предосторожности ротировать access tokens и проверить недавнюю активность аккаунта. Для разработчиков, студий и команд, которые используют Hub в продакшене, это хороший повод пересмотреть права токенов, убрать лишние write-доступы и разделить токены для личной работы, CI/CD и публичных демо.
Отдельно интересен вывод самой компании: при расследовании коммерческие frontier-модели блокировали анализ реальных атакующих команд и C2-артефактов из-за safety-фильтров, поэтому форензику пришлось запускать на open-weight модели GLM 5.2 внутри собственной инфраструктуры. Для бизнеса это практичный урок: если AI становится частью защиты, нужно заранее понимать, какие модели можно безопасно запускать локально и на каких данных.