Hugging Faceモデル向けPythonライブラリが汚染

Agus_Gatam – shutterstock

Hugging Faceモデルで使用される人工知能（AI）および機械学習（ML）向けのPythonライブラリであるNeMo、Uni2TS、FlexTokには重大な弱点があります。Palo Alto NetworksのUnit 42の研究者が突き止めたところによれば、犯罪者はこれらを悪用してメタデータ内に悪意あるコードを隠すことができます。いったん混入すると、改ざんされたメタデータを含むファイルが読み込まれた瞬間にコードが自動的に発動します。

技術的には、脆弱性は特にHydraの`instantiate()`関数に関係します。Hydraは、これら3つのAI/MLライブラリすべてで使用されているPythonライブラリです。Hydra自体はFacebookの親会社であるMetaによって保守されており、機械学習プロジェクトの構成管理ツールとして頻繁に利用されています。

現時点では野放しの環境での危険は確認されず

脆弱性はかなり広く存在しているものの、セキュリティ専門家はこれまで実環境（野放しの環境）での悪用をまだ確認していないとしています。ただし、安心できる状況ではありません。むしろ、攻撃者には依然として悪用の機会が十分にあるとして警告しています。

Unit 42のマルウェア研究者であるCurtis Carmony氏は状況を次のように説明しています。「開発者が最先端モデルの独自バリエーションを、さまざまな微調整や量子化を施して作成するのは一般的で、しかもそれは著名な機関に属さない研究者によって行われることも多いのです。」攻撃者は、すでに存在し広く普及しているモデルを改変し、「実際の、あるいは見かけ上の利点を提供する」ものにしてから、「悪意あるメタデータを追加する」だけでよいのです。

さらに、Hugging Faceがメタデータを他のファイルほど容易にアクセスできる形で提供していないこと、またSafetensorsやNeMoのファイル形式を使用するファイルを潜在的に安全でないものとして表示しないことが、状況をいっそう悪化させています。

普及が広いほど、攻撃面も広い

もう一つの要因として、Unit 24によれば、Hugging FaceではAI/MLモデルに100以上のPythonライブラリが使用されており、そのうちほぼ50がHydraを利用しているといいます。Carmony氏は、これらの形式自体が危険なのではなく、「それらを使用するコードが非常に大きな攻撃面を提供している」のだと説明しています。

技術的には、NeMo、Uni2TS、FlexTokが`hydra.utils.instantiate()`関数を使ってモデルのメタデータから設定を読み込む方法に起因します。これにより、リモートコード実行（RCE）を行うことが可能になります。Unit 42によれば、これらライブラリの作成者／保守者は次の点を見落としていたようです。

`instantiate()`はインスタンス化するクラス名を受け取るだけでなく、任意の呼び出し可能な関数名も使用し、指定された引数を渡します。これは重大な結果を招きます。攻撃者がeval()やos.system()といった組み込みPython関数を用いれば、より容易にコードを流出させることができるからです。

この状況への対応もすでに行われています。MetaはHydraのドキュメントを更新し、`instantiate()`を使用するとRCEが可能になり得ることを警告するようになりました。

3つのAI/MLライブラリについては、以下の対策が講じられました。

• NeMoはNvidiaによって開発されているため、同社はCVE-2025-23304を公開し、NeMoバージョン2.3.2で修正を提供しました。
• Uni2TSはSalesforceによって開発されました。このベンダーもCVE（CVE-2026-22584）を報告し、修正を公開しました。
• Appleと、ローザンヌ連邦工科大学（EPFL）のVisual Intelligence and Learning Laboratory（EPFL VILAB）が共同開発したFlextokは、すでに修正されています。ここでの特徴として、Unit 42の専門家は、2026年1月時点でHugging Face上の他のモデルがml-flextokライブラリを使用していないと見ています。