Hugging Face、AIエージェント主導の侵入を公表:防御も機械速度へ
導入
Hugging Faceは2026年7月、本番インフラの一部に対するセキュリティインシデントを公表した。注目すべき点は、単なる侵入事案ではなく、攻撃が自律型AIエージェントシステムによって端から端まで実行されたと同社が説明していることだ。さらに、検知と分析の側でもAIを大きく活用しており、攻撃側と防御側の双方が機械速度で動く時代を象徴する出来事となった。
主要ポイント
- 入口はデータ処理パイプラインだった。 Hugging Faceによれば、悪意あるデータセットが、リモートコードを使うデータセットローダーと、データセット設定におけるテンプレートインジェクションという2つのコード実行経路を悪用し、処理ワーカー上でコードを実行した。
- その後、権限昇格と横展開が行われた。 攻撃者はノードレベルのアクセスを得た後、クラウドおよびクラスタの認証情報を取得し、週末の間に複数の内部クラスタへ移動した。
- 影響範囲は調査中だが限定的とされる。 同社は、限定的な内部データセットと複数のサービス用認証情報への不正アクセスを確認した。一方で、パートナーや顧客データへの影響については評価を継続しており、必要に応じて対象者へ直接連絡するとしている。
- 公開資産の改ざん証拠はない。 公開されているユーザー向けモデル、データセット、Spacesに改ざんの証拠はなく、コンテナイメージや公開パッケージなどのソフトウェアサプライチェーンもクリーンであることを確認したという。
- 対応は修復、封じ込め、認証情報の更新が中心。 同社は悪用されたコード実行経路を閉じ、攻撃者の足場を排除し、侵害されたノードを再構築した。また、関連する認証情報を失効・ローテーションし、クラスタの入場制御とアラート体制を強化した。
意義と影響
この事案は、自律型の攻撃ツールがもはや理論上のリスクではないことを示している。短命なサンドボックスの群れ、多数の自動化アクション、自己移動型のコマンド・アンド・コントロールは、攻撃キャンペーンのコストを下げ、速度と継続性を高める。
同時に、防御側の課題も浮き彫りになった。Hugging Faceは当初、商用API上の最先端モデルで攻撃ログを分析しようとしたが、実際の攻撃コマンド、エクスプロイトのペイロード、C2関連の痕跡を含むため、安全ガードレールにブロックされた。最終的に同社は、自社インフラ上でオープンウェイトモデルのGLM 5.2を使い、攻撃者データや認証情報が外部に出ない形で分析を進めた。
AI基盤を運用する企業にとって、データセット、ローダー、テンプレート、サンドボックス、認証情報、クラスタ境界はすべて重要な攻撃面である。さらに、インシデント対応のためには、外部サービスだけに頼らず、ローカルで実行可能な検証済みモデルを事前に用意しておく必要がある。
コメント
ログイン状態を確認中…
コメントを読み込み中…