Hugging Face mengidentifikasi akses tidak sah ke dataset internal dan kredensial yang disebabkan oleh kerangka agen otonom yang mengeksploitasi jalur eksekusi kode dalam pipeline pemrosesan datasetnya. Intrusi tersebut memungkinkan aktor untuk meningkatkan hak istimewa, memanen kredensial cloud, dan bergerak lateral di seluruh kluster internal.

  • Penyerang menggunakan dataset jahat untuk menyalahgunakan pemuat kode jarak jauh dan injeksi templat, menjalankan kode pada pekerja pemrosesan.
  • Kampanye ini memanfaatkan harness riset keamanan agentic yang mengeksekusi ribuan aksi di across sandbox berumur pendek dengan command-and-control yang bermigrasi sendiri.
  • Hugging Face menutup kerentanan akar, membangun ulang node yang dikompromikan, dan memutar kredensial yang terpengaruh.
  • Analisis forensik dilakukan menggunakan GLM 5.2 pada infrastruktur internal untuk melewati pagar keamanan API komersial yang memblokir pengiriman payload eksploitasi.

Insiden ini menyoroti kebutuhan bagi pembela untuk memiliki model yang mampu siap di infrastruktur mereka sendiri untuk menghindari kunci pagar keamanan selama penyelidikan keamanan.