OmniTools 7月16日消息,Hugging Face 7月16日消息,Hugging Face于当日发布安全事件披露公告,确认其部分生产基础设施于当周遭入侵。此次攻击由端到端自主运行的AI代理系统实施,攻击者利用恶意数据集在数据处理流水线中触发远程代码执行与模板注入漏洞,进而获取凭证并横向渗透多个内部集群。
Hugging Face确认未发现公共模型、数据集、Spaces或软件供应链被篡改,但有限内部数据集及若干服务凭证遭未授权访问,影响评估仍在进行中。公司已修复漏洞、清除入侵痕迹、轮换受影响凭证,并加强集群准入控制与检测响应能力。
其AI辅助分析系统基于GLM 5.2开源模型在自有基础设施上完成超1.7万条攻击行为日志的快速解析,而商用API模型因安全护栏拦截未能用于该分析。公司强调,防御方需具备可本地部署、免受外部策略限制的AI能力以应对同类威胁。