Hugging Face 模型使用的流行 Python 库遭受了恶意元数据攻击,这些库由 NVIDIA、Salesforce 和 Apple 与瑞士联邦理工学院视觉智能与学习实验室合作开发。漏洞允许远程攻击者在元数据中隐藏恶意代码,当加载包含恶意元数据的文件时,代码会自动执行。
涉及的三个开源库是 NVIDIA 的 NeMo、Salesforce 的 Uni2TS 和 Apple 的 FlexTok,它们都使用 Meta 维护的 Hydra 库作为机器学习项目的配置管理工具。具体漏洞与 Hydra 的 instantiate() 函数相关,该函数用于从模型元数据加载配置,可能导致远程代码执行。
Palo Alto Networks 的 Unit 42 团队发现了这些安全漏洞,并向库的维护者报告。维护者已发布安全警告和修复措施,其中两个漏洞获得了 CVE 编号。尽管目前未发现这些漏洞在野外被滥用,但攻击者有充足机会利用它们。
攻击者只需修改现有流行模型,添加恶意元数据,即可利用漏洞。Hugging Face 平台上的模型使用超过 100 个不同的 Python 库,其中近 50 个使用 Hydra,增加了攻击面。
Meta 已更新 Hydra 的文档,警告使用 instantiate() 可能导致远程代码执行,并建议用户添加阻止列表机制。Salesforce 表示在 2025 年 7 月主动修复了问题,未发现客户数据被未经授权访问的证据。