
7 月 16 日,Hugging Face 发了一份让整个安全圈倒吸凉气的事件通报:他们的生产基础设施被攻破了。而动手的并不是某个躲在暗处的黑客团队,是一套完全自主运行的 AI 智能体框架,从头到尾把入侵跑完了。
入口藏在最不起眼的数据管道里
AI 平台有个别的公司没有的软肋——它们会替用户自动处理上传的数据集。攻击者就盯上了这条流水线:一个恶意数据集同时利用了两处代码执行漏洞,一处是能远程跑代码的加载器,另一处是数据集配置里的模板注入。处理节点被拿下之后,攻击框架一路提权到节点级别,顺手收割了云和集群的凭据,并在一个周末里横向渗透进多个内部集群。
整个入侵过程没有收到任何一条人类指令,全是这个智能体自己在决策、自己行动。防御方对抗的不再是一个人,而是一个能自我编排、弹性伸缩的自动化对手。
1.7 万次操作,防守方反而被护栏挡住
更戏剧性的一幕发生在取证阶段。Hugging Face 自家的异常检测管道最早发现了异常,随后工程师把超过 1.7 万条攻击动作记录丢给 LLM 驱动的分析代理,几小时就拼出了完整时间线——这件事人工要干上好几天。可轮到调用商业前沿大模型继续深挖时,护栏直接把请求拦了:那些模型分不清提交真实漏洞载荷的事件响应人员,和一个正在作案的黑客,统统当成危险内容堵掉。团队最后只好切回部署在自己机房的开源权重模型 GLM 5.2。
这次事件真正改变了什么
- 机器学习平台的数据和模型接口,从”理论上的攻击面”变成了”已被证实的攻击面”。
- 自主攻击者在机器速度上运转,不受人的疲劳和工作节律限制,一个周末就能跑完上万次操作。
- 把命令控制架在公共服务上还能自动迁移,传统的签名检测基本失效。
好消息是,Hugging Face 确认公共模型、数据集和 Spaces 没有被篡改,软件供应链也干净,只波及少量内部数据集和服务凭据。但这次披露给所有跑 AI 平台的团队提了个醒:与其临场指望调用商业 API 做应急,不如事先在自己环境里备好一个能力够用、又不受使用政策掣肘的模型。







