TokyoBlackHatNews

cyberpress.org 4分で読了

Hugging Face Transformersの重大な脆弱性、リモートコード実行を可能に

Hugging Face Transformersライブラリに重大な脆弱性が発見され、数百万人にのぼる機械学習エンジニアや企業のAIパイプラインが、trust_remote_code=Trueを設定することなく静かにリモートコードを実行される危険にさらされていたことが明らかになりました。

CVE-2026-4372(CVSS 7.8 High)として追跡されているこの脆弱性は、Transformersバージョン4.56.0から5.2.xに影響します。2026年3月4日にリリースされたv5.3.0でパッチが適用されました。

この脆弱性は、ライブラリのカーネルディスパッチコードパスに存在します。v4.56.0においてアテンションディスパッチロジックのリファクタリングが行われた際に混入したものです。

モデルの設定に_attn_implementation_internalフィールドが含まれている場合、Transformersはその値をimportlib.import_module()に渡します。これにより、Hugging Face Hub上にホストされている任意のPythonパッケージを指定できてしまいます。

ユーザーへの確認もなく、警告もなく、trust_remote_codeフラグも不要です。攻撃者はHubに悪意あるPythonパッケージをアップロードし、モデルのconfig.jsonにJSONフィールドを一つ埋め込むだけで済みます。

kernelsパッケージがインストールされている環境で、標準的なAutoModelForCausalLM.from_pretrained()を使って対象モデルを呼び出すと、from_pretrained()が返る前に攻撃者のコードが静かにインポート・実行されると、Plutoは説明しています。

攻撃の手口は非常にシンプルです。第1フェーズでは認証情報の窃取が実行され、~/.aws/credentials~/.ssh/id_rsa、Kubernetes設定ファイル、.envファイルが収集されます。

第2フェーズでは外部へのネットワーク接続を確立し、盗んだデータを攻撃者が管理するサーバへ送信します。スタブ関数によってエラーが隠蔽されるため、モデルは正常に読み込まれ、被害者には異常な兆候が一切表示されません。

_attn_implementation_internalは一見ごく普通の内部フィールドに見えるため、注意深いコードレビュアーでも見落とす可能性が高いです。

trust_remote_code=Trueを検索するセキュリティスキャナーは何も検出できません。被害者がそのフラグを設定していないからです。これはHugging Faceエコシステムのセキュリティに関する根本的な前提を直接的に崩すものだと、Plutoは述べています

この脆弱性が影響するのは、以下の3つの条件をすべて満たすユーザーです。Transformers 4.56.0〜5.2.xがインストールされていること、kernelsパッケージが存在すること(transformers[all]にデフォルトで含まれます)、そして悪意あるモデルに対してfrom_pretrained()を呼び出すことです。

PyPIのテレメトリによると、187日間の露出期間中に脆弱なバージョンが約2億3,200万回ダウンロードされており、週間インストール数のピーク時には1,370万件に達しました。kernelsパッケージも同期間に約170万回ダウンロードされています。

修正から3ヶ月が経過した現在も、脆弱なバージョンがTransformersの週間インストールの約23%を占めています。

2026年5月、HiddenLayerは悪意あるHubリポジトリOpen-OSS/privacy-filterを公開しました。このリポジトリは削除されるまでの18時間足らずで24万4,000件ものダウンロードを記録していました。

その攻撃では、被害者がローダースクリプトを手動で実行する必要がありました。しかしCVE-2026-4372はその手間を完全に不要にしており、標準的なAPI呼び出しだけでエクスプロイトが発動します。

この脆弱性は、CVE-2025-32434(CVSS 9.8のPyTorchの脆弱性)と構造的に酷似しています。こちらはほぼ同一のパターン——ドキュメント上は「安全」とされるモードが、隣接する無防備なコードパスによって無効化されるという手口——により、weights_only=Trueが回避された事例です。

PR #44395のパッチでは、設定のsetattrループ内で危険な属性をブロックリストに追加するとともに、公式のkernels-community組織外のリポジトリに対するカーネルの読み込みをtrust_remote_code=Trueでゲートするよう変更されています。

翻訳元: https://cyberpress.org/critical-hugging-face-transformers-flaw/

ソース: cyberpress.org
#AIセキュリティ #CVE-2026-4372 #Hugging Face #PyPI #Pythonセキュリティ #Transformers #サプライチェーン攻撃 #リモートコード実行 #機械学習セキュリティ #脆弱性

関連記事

Deep Security Agentのリロード欠陥が生む保護バイパスの窓口

正規ツールを悪用したマルウェア展開キャンペーンの実態

エージェント型AIのレッドチーミングが明らかにした新たな「Human-in-the-Loop」回避技術