【事件概述】一个伪装成 OpenAI 发布内容的恶意 Hugging Face 仓库向 Windows 系统投放信息窃取恶意软件。该仓库在 18 小时内登上 Hugging Face 热门排行榜首位被移除前下载量达 24.4 万次引发人们对企业从公共仓库获取和验证 AI 模型的新担忧。图片来源Robert Way / Shutterstock【恶意仓库详情】AI 安全公司 HiddenLayer 在研究报告中指出名为 Open - OSS/privacy - filter 的仓库假冒 OpenAI 合法的隐私过滤器版本几乎逐字复制其模型说明卡并包含恶意的 loader.py 文件该文件会在 Windows 主机上获取并执行窃取凭证的恶意软件。报告还称该仓库在不到 18 小时内登上 Hugging Face 热门排行榜首位获得约 24.4 万次下载和 667 个点赞数据很可能是人为夸大目的是让仓库看起来合法。这一事件凸显公共 AI 模型注册表正成为企业面临的新软件供应链风险尤其是开发者和数据科学家将开源模型直接克隆到可访问源代码、云凭证和内部系统的企业环境中时。这个虚假模型附带的 README 与合法项目不同它指示用户在 Windows 系统上运行 start.bat或在 Linux 和 macOS 系统上执行 python loader.py。此前研究人员曾在 Hugging Face 上的 Pickle 序列化模型文件中发现隐藏恶意代码绕过了平台扫描程序还警告 AI 供应链在监管和工具方面落后于传统软件。【恶意加载程序机制】据 HiddenLayer 称loader.py 脚本先执行看似合法的 AI 模型加载程序的诱饵代码然后启动隐藏的感染链。该脚本禁用 SSL 验证解码与公共 JSON 托管服务 jsonkeeper.com 相关联的 base64 编码 URL获取远程有效负载指令并将命令传递给 PowerShell。研究人员表示使用 jsonkeeper[.]com 作为 C2 通道攻击者可在不修改仓库的情况下更换有效负载。由此产生的 PowerShell 命令会从攻击者控制的域名下载额外批处理文件并通过创建计划任务建立持久化该任务旨在模仿合法的 Microsoft Edge 更新过程。报告称感染链最终部署基于 Rust 的信息窃取程序目标是基于 Chromium 和 Firefox 的浏览器、Discord 本地存储、加密货币钱包、FileZilla 配置以及主机系统信息。该恶意软件还试图禁用 Windows 反恶意软件扫描接口和 Windows 事件跟踪同时检查沙盒和虚拟机环境以逃避分析。【更广泛的攻击关联】HiddenLayer 在报告中表示还发现另外六个在另一个账户下上传到 Hugging Face 的仓库使用几乎相同的加载程序逻辑并与此次攻击活动共享基础设施。研究人员还将此次攻击的部分元素与早期涉及 npm 仿冒域名攻击和通过 PyPI 分发的虚假 AI 包的软件供应链攻击联系起来。HiddenLayer 称共享的基础设施表明这些攻击活动可能相互关联很可能是针对开源生态系统的更广泛供应链攻击的一部分。此前研究人员曾警告过 Hugging Face 上 Pickle 序列化 AI 模型文件中嵌入的恶意代码以及涉及受污染的 AI SDK 和虚假 OpenClaw 安装程序的独立攻击活动。【传统安全控制局限】分析师指出这一事件暴露出现有软件成分分析和应用程序安全工具在处理 AI 制品时的局限性。IDC 网络安全服务高级研究经理 Sakshi Grover 表示传统的软件成分分析SCA旨在检查依赖清单、库和容器镜像而非与 AI 开发工作流程相关的日益复杂的行为在识别隐藏在看似合法的 AI 仓库中的恶意加载程序逻辑方面效果差得多。Gartner 主任分析师 Jaishiv Prakash 表示企业现在需要在 AI 注册表层面建立专门的治理控制。企业必须在注册表层面为模型来源、批准版本、访问和运行时验证建立专门的控制措施。他补充道模型仓库分发的可执行制品和嵌入式逻辑往往超出传统 SCA 工具的有效范围。Grover 表示IDC 2025 年 11 月的 FutureScape 报告预测到 2027 年部署自主 AI 系统的企业中60% 将需要 AI 物料清单以支持持续的漏洞扫描和合规保证。【企业应对建议】HiddenLayer 敦促受影响的用户将受影响的系统视为已完全被攻破并优先进行系统重装而不是清理工作。报告称如果克隆了 Open - OSS/privacy - filter 并在 Windows 主机上执行了 start.bat、python loader.py 或该仓库中的任何文件应将该系统视为已完全被攻破。研究人员补充说即使密码没有本地存储浏览器会话也应被视为已被攻破因为被盗的会话 cookie 可以绕过多因素身份验证保护。该公司还建议阻止列出的攻击迹象、轮换凭证、使活动会话无效并对与此次攻击活动相关的网络连接进行历史追溯。报告显示Hugging Face 已向 HiddenLayer 确认该仓库违反了其服务条款并将其从平台上移除。