Tag: Hugging Face

Hugging Face Transformers の脆弱性 CVE-2026-4372 が FIX:悪意のモデル読み込みと RCE

Hugging Face Transformers Security Flaw Allows Remote Code Execution

2026/06/05 gbhackers — Hugging Face の Transformers ライブラリに存在する深刻なセキュリティ脆弱性 CVE-2026-4372 を悪用する攻撃者は、悪意のモデル・コンフィグを通じて、数百万規模の機械学習ワークフローを秘密裏にリモート・コード実行 (RCE) のリスクにさらす可能性がある。この脆弱性を悪用する攻撃者は、trust_remote_code=True の設定や明示的なユーザー操作を必要とせずに、標準の from_pretrained() API を介して細工されたモデルを読み込ませるだけで、被害者のシステム上で任意のコードを実行できる。この問題は、セキュリティ企業の研究者 Yotam Perkal により発見された。

Continue reading “Hugging Face Transformers の脆弱性 CVE-2026-4372 が FIX:悪意のモデル読み込みと RCE”

Hackers で悪意のパッケージを検出:マルウェア配布とデータ送信バックエンドとして悪用

Hackers Use Hugging Face to Host Second-Stage Malware for npm Supply Chain Attack

2026/05/22 CyberSecurityNews — AI 分野で最も信頼されるプラットフォーム Hugging Face を武器化する、新たなハッキング手法が確認された。北朝鮮に関連する脅威アクターたちが、広く利用される AI/ML ハブである Hugging Face 内に 2-Step のマルウェアを埋め込み、マルウェア配布チャネルおよびデータ外部送信バックエンドとして悪用している。この活動が、世界中のソフトウェア開発者を標的とする、高度な npm サプライチェーン攻撃の一つとなっている。

Continue reading “Hackers で悪意のパッケージを検出:マルウェア配布とデータ送信バックエンドとして悪用”

Hugging Face と ClawHub を悪用するハッカーを検知:575+ の悪意の Skills がマルウェアをデプロイ

Hackers Leveraged Hugging Face and ClawHub With 575+ Malicious Skills to Deploy Malware

2026/05/08 CyberSecurityNews — 著名な AI プラットフォーム Hugging Face と ClawHub を悪用し、正規の AI ツールやエージェント・エクステンションを装いながら、トロイの木馬/暗号通貨マイナー/情報窃取マルウェアなどを配布する、進行中のマルウェア配布キャンペーンが確認された。このキャンペーンが示すのは、従来のソフトウェア・リポジトリから、信頼された AI エコシステムへと攻撃対象が移行している状況であり、サプライチェーン攻撃の大きな進化といえる。

Continue reading “Hugging Face と ClawHub を悪用するハッカーを検知:575+ の悪意の Skills がマルウェアをデプロイ”

Hugging Face LeRobot の RCE 脆弱性 CVE-2026-25874:パッチ提供までの対策とは?

Hugging Face LeRobot Vulnerability Enables Unauthenticated RCE Attacks

2026/04/29 CyberSecurityNews — Hugging Face が公開したのは、オープンソース機械学習フレームワーク LeRobot に存在する、深刻なリモートコード実行 (RCE) の脆弱性に関する情報である。脆弱性 CVE-2026-25874 (CVSS 9.3) を悪用する未認証の攻撃者は、脆弱なホスト・マシン上で任意のシステム・コマンド実行を可能にする。

Continue reading “Hugging Face LeRobot の RCE 脆弱性 CVE-2026-25874:パッチ提供までの対策とは?”

Hugging Face を介したマルウェア配信:悪意の npm パッケージ “js-logger-pack” とは?

Malicious npm Package Turns Hugging Face Into Malware CDN and Exfiltration Backend

2026/04/23 CyberSecurityNews — “js-logger-pack” と名付けられた不正な npm パッケージにより、広く信頼される AI モデル・ホスティング・プラットフォーム Hugging Face が悪用され、マルウェア配布ネットワークやデータ窃取の基盤として機能していることが判明した。このキャンペーンが示すのは、攻撃者が正規クラウドサービスを悪用しながら検知を回避する、サプライチェーン攻撃手法の変化である。

Continue reading “Hugging Face を介したマルウェア配信:悪意の npm パッケージ “js-logger-pack” とは?”

Hugging Face/GitHub で API トークンが流出:AI を活用する企業が危険にさらされる

Major Organizations Using ‘Hugging Face’ AI Tools Put at Risk by Leaked API Tokens

2023/12/05 SecurityWeek — Hugging Face/GitHub などのコード・リポジトリに、誤って公開されている 1,600以上の有効な Hugging Face API トークンを、AI サイバー・セキュリティ・スタートアップである Lasso が発見した。トークンなどの機密情報が流出し悪用されると、きわめて高いリスクにいたることから、コードホスティング・プラットフォームやセキュリティ研究者たちかは、以前から注視し続けている。LLM (Large Language Models) を統合する開発者や企業は、Hugging Face API トークンにより、Hugging Face リポジトリの管理を可能にする。

Continue reading “Hugging Face/GitHub で API トークンが流出:AI を活用する企業が危険にさらされる”