Hugging Face 遭全自動 AI 代理入侵:從惡意資料集一路橫向滲透,攻防雙方都是 AI
Hugging Face 週四公開一起發生在本週稍早的入侵事件,並直言這一次跟以往任何一次都不同:整場攻擊由一個自主 AI 代理系統從頭到尾執行,而他們也主要靠自家的 AI 來偵測與剖析。攻擊者取得了一批內部資料集與數組服務憑證的未授權存取,目前仍在評估是否波及夥伴或客戶資料,並將依規定直接聯繫受影響方。所幸公開的模型、資料集、Spaces 沒有被竄改,容器映像與發布套件的軟體供應鏈經驗證乾淨。
入侵從 AI 平台最脆弱的環節下手——資料處理管線。一個惡意資料集利用了資料集處理流程裡的兩個程式碼執行路徑(遠端程式碼載入器,以及資料集設定檔的模板注入),在處理節點上跑起了程式碼。接著攻擊者提權到節點層級、蒐集雲端與叢集憑證,趁週末橫向移動竄進多個內部叢集。整場行動由一個自主代理框架驅動,跨大量短命沙箱執行數千個動作,命令與控制通道還自我遷移、藏在公開服務上,看起來是搭在某個代理式資安研究框架上,但用的是哪個 LLM 至今未知。
HF 的處置動作包括封掉初始入侵用的資料集程式碼執行路徑、清除攻擊者在受影響叢集的立足點並重建被入侵節點、撤銷輪替受影響憑證,並啟動更大範圍的預防性密鑰輪替。HF 把這起事件定調為業界老早在預言的「代理攻擊者」場景第一次真實上演,並點出一個不對稱難題:防守方要顧全部破口,攻擊方只要找到一個,而當攻擊被 AI 自動化到可以同時嘗試上千條路徑,這個不對稱被放大得更嚴重。
歸剛點評:這則要慢慢讀,因為它是分水嶺。過去講「AI 被拿來當駭客工具」多半還是輔助人類,這次是 AI 代理自己跑完整條殺傷鏈,從投毒資料集到橫向滲透一氣呵成。惡意資料集能執行程式碼這件事,本站也提醒過凡是「上傳就自動處理」的平台都要當心。防守方現在被迫用 AI 打 AI,人類只來得及善後——這不是恐嚇,是 HF 用自身傷口寫的實錄。