記事一覧へ戻る
AIセーフティ

Hugging Face、AIエージェント主導の侵入を公表:防御も機械速度へ

読了目安 3 分

導入

Hugging Faceは2026年7月、本番インフラの一部に対するセキュリティインシデントを公表した。注目すべき点は、単なる侵入事案ではなく、攻撃が自律型AIエージェントシステムによって端から端まで実行されたと同社が説明していることだ。さらに、検知と分析の側でもAIを大きく活用しており、攻撃側と防御側の双方が機械速度で動く時代を象徴する出来事となった。

主要ポイント

  • 入口はデータ処理パイプラインだった。 Hugging Faceによれば、悪意あるデータセットが、リモートコードを使うデータセットローダーと、データセット設定におけるテンプレートインジェクションという2つのコード実行経路を悪用し、処理ワーカー上でコードを実行した。
  • その後、権限昇格と横展開が行われた。 攻撃者はノードレベルのアクセスを得た後、クラウドおよびクラスタの認証情報を取得し、週末の間に複数の内部クラスタへ移動した。
  • 影響範囲は調査中だが限定的とされる。 同社は、限定的な内部データセットと複数のサービス用認証情報への不正アクセスを確認した。一方で、パートナーや顧客データへの影響については評価を継続しており、必要に応じて対象者へ直接連絡するとしている。
  • 公開資産の改ざん証拠はない。 公開されているユーザー向けモデル、データセット、Spacesに改ざんの証拠はなく、コンテナイメージや公開パッケージなどのソフトウェアサプライチェーンもクリーンであることを確認したという。
  • 対応は修復、封じ込め、認証情報の更新が中心。 同社は悪用されたコード実行経路を閉じ、攻撃者の足場を排除し、侵害されたノードを再構築した。また、関連する認証情報を失効・ローテーションし、クラスタの入場制御とアラート体制を強化した。

意義と影響

この事案は、自律型の攻撃ツールがもはや理論上のリスクではないことを示している。短命なサンドボックスの群れ、多数の自動化アクション、自己移動型のコマンド・アンド・コントロールは、攻撃キャンペーンのコストを下げ、速度と継続性を高める。

同時に、防御側の課題も浮き彫りになった。Hugging Faceは当初、商用API上の最先端モデルで攻撃ログを分析しようとしたが、実際の攻撃コマンド、エクスプロイトのペイロード、C2関連の痕跡を含むため、安全ガードレールにブロックされた。最終的に同社は、自社インフラ上でオープンウェイトモデルのGLM 5.2を使い、攻撃者データや認証情報が外部に出ない形で分析を進めた。

AI基盤を運用する企業にとって、データセット、ローダー、テンプレート、サンドボックス、認証情報、クラスタ境界はすべて重要な攻撃面である。さらに、インシデント対応のためには、外部サービスだけに頼らず、ローカルで実行可能な検証済みモデルを事前に用意しておく必要がある。

出典:Hugging Face Blog

コメント

ログイン状態を確認中…

コメントを読み込み中…

関連記事

CCTest · Blog
AI時代のペネトレーションテストは「侵害」から「行動の失敗」へ
AIセーフティ
cctest.ai
AIセーフティ

AI時代のペネトレーションテストは「侵害」から「行動の失敗」へ

arXiv の論文は、AI 搭載システムのペネトレーションテストでは、インフラ侵害だけでなく、攻撃者が AI の行動を誘導して運用目標を破らせられるかを評価すべきだと提案している。

続きを読む
CCTest · Blog
監査の選択履歴が内部告発者を露出するリスクと差分プライバシー
AIセーフティ
cctest.ai
AIセーフティ

監査の選択履歴が内部告発者を露出するリスクと差分プライバシー

arXiv の新論文は、監査対象の選び方そのものが内部告発者の手がかりになり得る問題を形式化した。著者らは、継続的カウントに基づく私的監査メカニズムを提案している。

続きを読む
CCTest · Blog
LLM型侵入検知に向けたトラフィック認識型ランダム化平滑化
AIセーフティ
cctest.ai
AIセーフティ

LLM型侵入検知に向けたトラフィック認識型ランダム化平滑化

arXiv の新論文は、LLM ベースのネットワーク侵入検知に可証明なロバスト性を与える TA-RS を提案している。特徴量全体ではなく、攻撃者が直接操作できるトラフィック特徴だけにガウスノイズを注入する点が特徴だ。

続きを読む