Hugging Faceの脆弱性、リモートコード実行を可能に

Hugging Face Transformersライブラリの脆弱なバージョンを使用している組織は、悪意のあるAIモデルを読み込むだけで、知らないうちに攻撃者が制御するコードを実行してしまう可能性があります。 

Plutoのセキュリティ研究者たちは、ライブラリに組み込まれたtrust_remote_code=Falseというセキュリティ制御を回避するリモートコード実行（RCE）の脆弱性を公開しました。この脆弱性により、クラウドの認証情報、SSHキー、APIトークン、その他の機密情報が流出する恐れがあります。

研究者たちは分析の中でこう述べています。「モデルのconfig.jsonに含まれる一つのフィールドを細工するだけで、それを読み込んだすべてのユーザーの環境で任意のコードがひそかに実行されます。特別なフラグも、警告も一切ありません。標準的なfrom_pretrained()を呼び出すだけで発動します。」

主なポイント

• CVE-2026-4372は、悪意を持って細工されたHugging Faceモデルの設定ファイルを介してリモートコード実行を可能にし、ライブラリのtrust_remote_code=Falseというセキュリティ制御を回避します。
• オプションのkernelsパッケージがインストールされている場合、複数のTransformersバージョンに影響します。これはGPUアクセラレーション環境では一般的な構成です。
• 攻撃者は標準的なfrom_pretrained()の呼び出しによってコード実行を引き起こし、クラウドの認証情報やAPIトークン、SSHキーなどの機密情報を窃取できる可能性があります。 

Hugging Face RCE脆弱性の詳細 

CVE-2026-4372として追跡されているこの脆弱性は、オプションのkernelsパッケージがインストールされている場合に、複数のHugging Face Transformersバージョンに影響します。 

このパッケージはデフォルトでは有効になっていませんが、GPUアクセラレーションを使った推論環境では広く利用されており、transformers[all]というインストールオプションを通じて導入されることも少なくありません。

研究者によると、パッチがリリースされるまでの間に脆弱なTransformersバージョンは約2億3,200万回ダウンロードされており、サードパーティのAIモデルを使用する組織にとってのサプライチェーンリスクが浮き彫りになっています。  

脆弱性の原因 

この欠陥の根本原因は、Transformersがモデル設定ファイル（config.json）を処理する方法にあります。 

研究者が発見したのは、このライブラリが汎用的なsetattr()メカニズムに依存しており、設定パラメーターを内部オブジェクトに直接適用していたという点です。そこには、本来であれば信頼できない入力から影響を受けてはならないプライベート属性も含まれていました。 

その結果、攻撃者は特別に細工されたモデル設定を通じて内部設定を操作できる状態になっていました。

エクスプロイトの仕組み 

その設定の一つである_attn_implementation_internalは、ライブラリ内のアテンションカーネルの選択を制御するものです。 

攻撃者はこの属性を改ざんし、Hugging Face Hub上にホストされた悪意のあるカーネルリポジトリを参照させることで、攻撃者が制御するPythonコードの自動ダウンロードとインポートを引き起こすことができます。 

この一連の処理は通常のfrom_pretrained()操作中に実行されるため、悪意のあるコードが実行される前に被害者側で不審なプロンプトや警告が表示されることはありません。

研究者たちはまた、この欠陥がプラットフォームの主要なセキュリティ制御の一つであるtrust_remote_code=Falseの設定を回避していると指摘しています。この設定は、信頼できないコードの実行を防ぐためとして多くの組織が依拠しているものです。 

悪用にあたって、特別な権限やセキュリティ上の例外、モデルの読み込み以外の追加操作は一切不要です。 

概念実証（PoC）エクスプロイトでは、攻撃者がクラウドの認証情報やAPIトークンなどの機密情報にアクセスできることが実証されており、エンタープライズインフラへの足がかりとなる可能性があります。 

AIサプライチェーンリスクの低減 

CVE-2026-4372はAIサプライチェーンおよびサードパーティモデルリポジトリに関連するリスクを浮き彫りにしています。セキュリティチームは、機械学習環境全体にわたる可視性、アクセス制御、および監視を強化するための措置を講じる必要があります。 

• Transformersを最新バージョンにアップグレードし、オプションのkernelsパッケージが含まれる環境を確認したうえで、未承認のサードパーティAIモデルの使用を制限してください。
• 最新の状態を保ったソフトウェア部品表（SBOM）とAI資産インベントリを整備し、デプロイされているモデル、ライブラリ、依存関係、および関連コンポーネントを追跡してください。
• 外部モデルは隔離されたサンドボックス環境で評価したうえで、本番ワークフローへ導入してください。
• 最小権限アクセス制御を実装し、モデルを読み込むシステムに長期間有効な認証情報やAPIキー、機密情報を保存しないようにしてください。
• アウトバウンドのネットワーク接続を制限し、機械学習インフラからの不審なモデルのダウンロード、パッケージのインポート、リポジトリ参照、その他の不審なアクティビティを監視してください。
• インシデントレスポンス計画をテストし、AIワークロードおよびサプライチェーンの侵害シナリオを取り入れた攻撃シミュレーションソリューションを活用してください。

これらの取り組みを組み合わせることで、組織はAIサプライチェーンの脅威に対するリスクを低減しながら、機械学習環境やサードパーティモデルのエコシステムを標的とした攻撃への耐性を高めることができます。 

拡大するAIサプライチェーンリスク 

CVE-2026-4372は、AIモデルや設定ファイル、関連コンポーネントを受動的なデータファイルとしてではなく、ソフトウェアサプライチェーンの一部として扱う必要があることを示しています。 

サードパーティモデルやオープンソースの機械学習ツールの採用が進む中、攻撃者はモデルマーケットプレイスや配布プラットフォーム、安全とされていたはずの読み込みメカニズムに新たな攻撃の糸口を見出しています。 

従来、アプリケーションやパッケージ、コードリポジトリに焦点を当てていたセキュリティ制御は、今やモデルや設定ファイル、より広範なAIサプライチェーン全体にまで拡張される必要があります。 

悪意のあるモデルやその他のAIサプライチェーンの脅威がもたらすリスクを低減する一つの方法は、ユーザー、デバイス、ワークロード、アクセス要求を継続的に検証するゼロトラストを採用することです。