Hugging Face 被自主 AI 智能体攻破:1.7 万次操作,全程无人指挥

AI 智能体攻破云服务器基础设施概念图
一个自主 AI 智能体框架,正在改写基础设施安全的威胁模型(配图由 AI 生成)

7 月 16 日,Hugging Face 发了一份让整个安全圈倒吸凉气的事件通报:他们的生产基础设施被攻破了。而动手的并不是某个躲在暗处的黑客团队,是一套完全自主运行的 AI 智能体框架,从头到尾把入侵跑完了。

入口藏在最不起眼的数据管道里

AI 平台有个别的公司没有的软肋——它们会替用户自动处理上传的数据集。攻击者就盯上了这条流水线:一个恶意数据集同时利用了两处代码执行漏洞,一处是能远程跑代码的加载器,另一处是数据集配置里的模板注入。处理节点被拿下之后,攻击框架一路提权到节点级别,顺手收割了云和集群的凭据,并在一个周末里横向渗透进多个内部集群。

整个入侵过程没有收到任何一条人类指令,全是这个智能体自己在决策、自己行动。防御方对抗的不再是一个人,而是一个能自我编排、弹性伸缩的自动化对手。

1.7 万次操作,防守方反而被护栏挡住

更戏剧性的一幕发生在取证阶段。Hugging Face 自家的异常检测管道最早发现了异常,随后工程师把超过 1.7 万条攻击动作记录丢给 LLM 驱动的分析代理,几小时就拼出了完整时间线——这件事人工要干上好几天。可轮到调用商业前沿大模型继续深挖时,护栏直接把请求拦了:那些模型分不清提交真实漏洞载荷的事件响应人员,和一个正在作案的黑客,统统当成危险内容堵掉。团队最后只好切回部署在自己机房的开源权重模型 GLM 5.2。

这次事件真正改变了什么

  • 机器学习平台的数据和模型接口,从”理论上的攻击面”变成了”已被证实的攻击面”。
  • 自主攻击者在机器速度上运转,不受人的疲劳和工作节律限制,一个周末就能跑完上万次操作。
  • 把命令控制架在公共服务上还能自动迁移,传统的签名检测基本失效。

好消息是,Hugging Face 确认公共模型、数据集和 Spaces 没有被篡改,软件供应链也干净,只波及少量内部数据集和服务凭据。但这次披露给所有跑 AI 平台的团队提了个醒:与其临场指望调用商业 API 做应急,不如事先在自己环境里备好一个能力够用、又不受使用政策掣肘的模型。

📎 原文来源:Hugging Face 确认 AI 驱动入侵:攻击者使用自主 Agent(FreeBuf / The Verge 综合)

评论

2 条对“Hugging Face 被自主 AI 智能体攻破:1.7 万次操作,全程无人指挥”的回复

  1. MWTAH51627 的头像
    MWTAH51627

    这下真是自己人打自己人了。防守方想用商业大模型做取证,结果护栏把自家分析师也拦了,最后还得靠开源模型兜底。以后安全团队的武器库里没个本地部署的开权模型,怕是都不敢接活。

  2. PRFKY42165 的头像
    PRFKY42165

    数据集加载器能直接执行代码,这个攻击面太劝退了。很多做 AI 平台的公司都在自动处理用户上传的数据集,等于把后门焊死在流水线里。光靠签名检测根本拦不住会自己迁移 C2 的代理。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注