Hugging Face ने आंतरिक डेटासेट और क्रेडेंशियल में अनधिकृत प्रवेश की पहचान की, जो इसके डेटासेट प्रोसेसिंग पाइपलाइन में कोड-एक्जीक्यूशन पथ का शोषण करने वाले एक स्वतंत्र एजेंट फ्रेमवर्क के कारण हुआ था। इस आक्रमण ने अभिनेता को अधिकार बढ़ाने, क्लाउड क्रेडेंशियल इकट्ठा करने और आंतरिक क्लस्टर में पक्षीय रूप से चलने की अनुमति दी।
- हमलावर ने एक दुर्भावनापूर्ण डेटासेट का उपयोग रिमोट-कोड लोडर और टेम्पलेट इंजेक्शन के दुरुपयोग के लिए किया, जिसने प्रोसेसिंग वर्कर पर कोड चलाया।
- अभियान ने एक एजेंटिक सुरक्षा-शोध हार्नेस का उपयोग किया जो स्व-मिग्रेटिंग कमांड-एंड-कंट्रोल के साथ छोटी अवधि वाले सैंडबॉक्स में हजारों कार्रवाइयां निष्पादित करता है।
- Hugging Face ने मूल कमजोरियों को बंद कर दिया, संवेदनशील नोड्स को पुनर्निर्मित किया और प्रभावित क्रेडेंशियल को घुमाया।
- फोरेंसिक विश्लेषण GLM 5.2 का उपयोग करके आंतरिक इंफ्रास्ट्रक्चर पर किया गया ताकि व्यावसायिक API सुरक्षा गार्डरेल को पार किया जा सके जो एक्सप्लॉइट पेलोड सबमिशन को ब्लॉक करते थे।
इस घटना से रक्षकों के लिए अपनी खुद की इंफ्रास्ट्रक्चर पर सक्षम मॉडल तैयार रखने की आवश्यकता को उजागर करती है ताकि सुरक्षा जांच के दौरान गार्डरेल लॉकआउट से बचा जा सके।