SevenTnewS

网络安全

当AI攻击AI平台会发生什么:Hugging Face漏洞是网络安全新时代的蓝图

Hugging Face遭受了由自主AI代理利用其数据管道发起的入侵。该事件揭示了AI驱动的攻击性工具如何以机器速度运行,以及为什么防御者需要在自己的基础设施上运行有能力的模型以跟上节奏。

Emmanuel Fabrice Omgbwa Yasse AI 辅助

2026-07-16 · 最后更新:2026-07-17 · 阅读需 6 分钟

当AI攻击AI平台会发生什么:Hugging Face漏洞是网络安全新时代的蓝图

2026年7月,Hugging Face披露了一起安全事件,这读起来像是对整个AI行业的压力测试。一个自主代理框架,一群自我迁移的沙箱,通过利用其数据集处理管道中的两个代码执行路径,侵入了该平台的内网集群。攻击者不仅闯入了系统。他们在周末执行了数千个操作,窃取了凭证,并在内部系统中横向移动。Hugging Face在一份公开披露中详细描述了其应对措施,这提供了一个罕见的、透明的视角,展示了当AI系统攻击AI平台时会发生什么。

入侵始于AI平台独特的暴露点:数据处理层。一个恶意数据集滥用了远程代码数据集加载器和数据集配置中的模板注入,在处理工作节点上运行代码。从那里,攻击者升级到节点级访问,窃取了云和集群凭证,并横向移动到几个内部集群。该行动由一个自主代理框架操控,该框架似乎构建在一个代理安全研究工具上。它在大量短暂存在的沙箱中执行了数千个独立操作,命令与控制通过公共服务进行。Hugging Face将此次事件描述为符合“行业一直预测的代理攻击者场景”。

这不是一个理论上的威胁。这次攻击是真实的,并且成功了。Hugging Face此后修复了根本漏洞,清除了攻击者的立足点,撤销了受影响的凭证,并增加了更多防护措施。但这一事件引发了关于网络安全未来的令人不安的问题,在这个时代,攻击者可以以机器速度运行,且不受使用政策的限制。

不对称问题

Hugging Face披露中最有启发性的部分可能不是攻击本身,而是他们如何进行调查。为了理解数万个自动化操作组成的集群做了什么,Hugging Face在完整的攻击者操作日志(超过17,000条记录的事件)上运行了LLM驱动的分析代理。这让他们能够在数小时内而不是数天内重建时间线,提取入侵指标,映射被触及的凭证,并将真实影响与干扰活动区分开来。

示意图:Hugging Face AI攻击与防御流程
攻击从恶意数据集通过代码执行、凭证窃取和横向移动展开,而Hugging Face自身的防御则使用了LLM驱动的异常检测,随后使用开放权重模型GLM 5.2进行取证日志分析,基于文章内容。

但这里有一个转折点:当他们第一次尝试使用商业API背后的前沿模型进行分析时,没有成功。分析需要提交大量真实的攻击命令、利用载荷和命令与控制工件。提供商的安全护栏阻止了这些请求。这些护栏无法区分事件响应者和攻击者。Hugging Face转而使用开放权重模型GLM 5.2在自己的基础设施上进行了取证分析。这还有第二个好处:没有攻击者数据,也没有它所引用的凭证,离开他们的环境。

这一经历指出一个值得规划的问题。正如Hugging Face所指出的:“我们不知道攻击者的代理是由哪个模型驱动的,是被越狱的托管模型还是不受限制的开放权重模型;无论是哪种情况,攻击者都不受任何使用政策的约束,而我们自己的取证工作却因为我们最初尝试的托管模型的护栏而被阻止。” 对防御者而言,实际的教训很明确:在事件发生前,拥有一个可以在自己基础设施上运行的有能力模型,并经过审查和准备,以避免护栏封锁,并防止攻击者数据和凭证离开你的环境。

这种不对称是结构性的。攻击者可以使用任何模型、任何工具、任何基础设施。没有使用政策约束他们。相比之下,防御者必须在法律、道德和政策的约束下运作。Hugging Face的披露不是反对托管模型安全措施的理由,但它迫使我们在安全与操作必要性之间寻求平衡。

防御数据表面

对于像Hugging Face这样的AI平台,数据和模型表面是一流的攻击面。此次入侵的初始访问向量是一个恶意数据集,这正是平台的生命线。这不是Web应用逻辑中的经典漏洞。这是平台对其用户提交内容信任中的漏洞。随着AI平台托管更多用户生成的模型、数据集和Spaces,它们必须将数据处理管道视为关键基础设施,接受与身份验证或网络层相同的审查。

行业早已收到警告。2024年,研究人员展示了恶意构造的模型权重如何在加载时执行代码。2025年,对包注册表的供应链攻击显示了将恶意代码注入构建管道是多么容易。Hugging Face的入侵结合了这些向量:通过数据处理执行代码,通过凭证窃取进行横向移动,以及通过自主代理实现持久化。

这次攻击还凸显了对AI辅助防御的需求,而不仅仅是进攻。Hugging Face的异常检测管道使用基于LLM的分类对安全遥测数据进行处理,以将真实信号与日常噪声区分开来。这些信号的关联标记了入侵。使攻击成为可能的技术也使其检测成为可能。这是行业必须接受的军备竞赛。

这对行业意味着什么

Hugging Face的披露是网络安全新时代的蓝图。自主的、AI驱动的攻击性工具不再是理论上的。它降低了运行广泛、耐心、多阶段行动的成本,并以机器速度运行。保护在线平台现在意味着将数据和模型表面视为一流的攻击表面,并在防御中使用AI以保持节奏。

这一事件还引发了关于开放权重模型在安全中的角色问题。Hugging Face使用开放权重模型GLM 5.2分析攻击者日志,并受益于能够在自己基础设施上运行它而不造成数据泄露。但相同的开放权重模型也可能被攻击者使用。进攻与防御之间的界限正在模糊,而技术是相同的。

目前,Hugging Face已经做了负责任平台该做的事:修复漏洞,透明披露,并分享经验教训。建议社区轮换访问令牌并审查账户活动是一个实际步骤。但更深的教训,即AI行业必须为大规模AI驱动的攻击做好准备,需要更长时间来消化。安全永无止境,但游戏规则已经改变。

每天早晨用 3 分钟掌握科技要闻

每个工作日一封邮件,只讲真正重要的 AI 与科技动态。