Hugging Face Transformers の脆弱性 CVE-2026-4372 が FIX:悪意のモデル読み込みと RCE

Hugging Face Transformers Security Flaw Allows Remote Code Execution

2026/06/05 gbhackers — Hugging Face の Transformers ライブラリに存在する深刻なセキュリティ脆弱性 CVE-2026-4372 を悪用する攻撃者は、悪意のモデル・コンフィグを通じて、数百万規模の機械学習ワークフローを秘密裏にリモート・コード実行 (RCE) のリスクにさらす可能性がある。この脆弱性を悪用する攻撃者は、trust_remote_code=True の設定や明示的なユーザー操作を必要とせずに、標準の from_pretrained() API を介して細工されたモデルを読み込ませるだけで、被害者のシステム上で任意のコードを実行できる。この問題は、セキュリティ企業の研究者 Yotam Perkal により発見された。

Hugging Face Transformers セキュリティ不具合

この脆弱性が影響を及ぼす範囲は、オプションのカーネル・パッケージと併用される Transformers バージョン 4.56.0 〜 5.2.x である。この脆弱なコードパスは、2025年8月に混入している。その後の 2026年3月にリリースされたバージョン 5.3.0 で修正されるまで、約 6ヶ月間にわたり悪用可能な状態が続いていた。

また、このライブラリが 22億回以上のインストール数と、月間約 1億4600万回のダウンロード数を持つことから、この脆弱性が存在していた期間は、AI パイプライン/エンタープライズ機械学習システム/研究環境において深刻なサプライチェーン・リスクが生じていたことになる。

PyPI download telemetry (Source: Pluto Security)
PyPI download telemetry (Source: Pluto Security)

この問題の根本的な原因は、信頼されていないコンフィグ・データの安全でないデシリアライズにある。モデルがロードされる際に、このライブラリが “config.json” を処理し、Python の setattr() を使用して、すべてのキー・バリューのペアを動的に割り当てる。

この処理には、ユーザーによる制御を想定していない内部属性も含まれている。その 1つである _attn_implementation_internal は、どのアテンション・カーネル実装を読み込むかを決定する属性である。したがって、このフィールドを攻撃者が制御できる場合には、任意の Python コードを含む悪意の Hugging Face リポジトリを指定できてしまう。

この攻撃チェーンは、カーネル・パッケージとの相互作用により成立する。具体的には、_attn_implementation_internal の値が “owner/repo” 形式のリポジトリ・パターンに一致した場合に、このライブラリは対応するパッケージを自動的にダウンロードし、インポートする。

このインポート処理は、サンドボックス化/署名検証/ユーザーへの警告を伴わずに実行されるため、コンフィグ・フィールドが事実上のコード実行プリミティブとなる。

実際の攻撃シナリオでは、このフィールドを注入した細工済みの “config.json” を含む悪意のモデルが、攻撃者により公開されることになる。被害者が以下のような通常のコードでモデルを読み込んだ場合に、このライブラリは初期化中に攻撃者のコードを自動的に取得し、実行する。

from transformers import AutoModelForCausalLM
model = AutoModelForCausalLM.from_pretrained("attacker/malicious-model")

この挙動は、trust_remote_code を明示的に無効化している場合でも発生するため、開発者や組織が依存してきた中核的なセキュリティ前提を覆すものである。

実際の PoC では、攻撃者が管理する Hugging Face リポジトリに配置された悪意の __init__.py が実行され、”/tmp/pwned.txt” や “/tmp/user_info.txt” などのファイルが生成されることが確認されている。また、対応する悪意の “config.json” には、”_attn_implementation_internal”: “attacker/malicious-kernel” が設定されるため、モデルの読み込み時にペイロードが自動実行される。

影響 

この脆弱性の悪用に成功した攻撃者は、以下の行為が可能となる。

  • AWS 認証情報/SSH キー/API トークン/環境変数などの機密情報の窃取
  • 永続化メカニズムの確立
  • クラウド環境内でのラテラル・ムーブメント
  • CI/CD パイプラインの侵害

このリスクは、GPU 対応環境やカーネル依存関係が一般的に導入されている、エンタープライズ ML プラットフォームにおいて特に深刻である。研究者が指摘するのは、この問題が PyTorch の weights_only バイパスの脆弱性 CVE-2025-32434 と類似している点である。

このケースでは、「セーフモード」がコード実行を防止できなかった。つまり、AI フレームワーク全体に共通する設計上の問題である、信頼されていないモデル・アーティファクトが単なるデータとして扱われる一方で、実際には入力であり実行が可能であるという問題を示している。

対応策 

この脆弱性は、Transformers バージョン 5.3.0 で修正されている。 修正内容は以下のとおりである。

  • 危険な内部属性が config ファイル経由で設定されることを防ぐ拒否リストの導入。
  • 外部カーネルの読み込み時の trust_remote_code=True を必須化。

ユーザーに対して強く推奨されるのは、直ちにアップグレードを実施し、機密性の高い環境では信頼されていないモデルの読み込みを避けることである。

また、組織は以下の対策を講じる必要がある。

  • すべてのモデル読み込み処理を潜在的なコード実行攻撃対象として扱う。
  • サンドボックス実行を徹底する。
  • 外部ネットワーク通信を制限する。
  • ML ワークロードから認証情報を分離する。

このインシデントが示すのは、攻撃者にとって、機械学習サプライチェーンが極めて価値の高い標的であることだ。

訳者後書:機械学習モデルを利用する側からは、単なる設定データに見える “config.json” ですが、その処理方法に今回の問題の根本原因があります。ライブラリが内部の仕組みを動的に割り当てる際に、本来はユーザーが触れないはずの内部属性まで、そのまま受け入れてしまったことが、脆弱性 CVE-2026-4372 の引き金となりました。Hugging Face Transformers における脆弱性は、trust_remote_code を無効化している環境でもリモートコード実行が成立する極めて深刻なものです。すでに修正バージョンがリリースされていますので、該当する環境を運用しているチームは、速やかなアップグレードやサンドボックスの徹底などの対策を講じる必要があります。よろしければ、Hugging Face での検索結果も、ご参照ください。