Hugging Faceの脆弱性、リモートコード実行を可能に
eSecurity Planet のコンテンツおよび製品に関する推薦は編集部が独立して行っています。パートナーへのリンクをクリックした場合、収益が発生することがあります。 詳細はこちら Hugging Face Transformersライブラリの脆弱なバージョンを使用している組織は、悪意のあるAIモデルを読
eSecurity Planet のコンテンツおよび製品に関する推薦は編集部が独立して行っています。パートナーへのリンクをクリックした場合、収益が発生することがあります。 詳細はこちら Hugging Face Transformersライブラリの脆弱なバージョンを使用している組織は、悪意のあるAIモデルを読
Hugging Face Transformersライブラリに重大な脆弱性が発見され、数百万人にのぼる機械学習エンジニアや企業のAIパイプラインが、trust_remote_code=Trueを設定することなく静かにリモートコードを実行される危険にさらされていたことが明らかになりました。 CVE-2026-4372(
Hugging Face Transformersに存在する深刻なセキュリティ脆弱性(CVE-2026-4372)により、悪意を持ったモデル設定を通じて、数百万ものマシンラーニングワークフローがサイレントなリモートコード実行(RCE)の危険にさらされていたことが明らかになりました。 Pluto Securityのリサ
累計22億回以上インストールされているこのPythonパッケージは、攻撃者にとって広大な攻撃対象領域を提供します。GPUアクセラレーション推論を実行する価値の高いエンタープライズユーザーへの無音アクセスも、その射程に含まれています。
人気のAIプラットフォームHugging Faceを活用して第二段階のマルウェアを配布する、高度なnpmサプライチェーン攻撃が確認された。 「terminal-logger-utils」として知られる悪意あるパッケージは、高機能なNode.jsインプラントのドロッパーとして機能する。 このマルウェアは、Telegra
新たに発見されたnpmエコシステムを標的とするサプライチェーン攻撃は、北朝鮮(DPRK)と関連する脅威アクターに関連付けられています。 このキャンペーンの中心となっているのは、悪意のあるnpmパッケージで、terminal-logger-utilsという名称で、キーロギング、データ流出、リモートシステム制御が可能な洗
ChromaToastの脆弱性は、ChromaDB APIサーバーに認証がチェックされる前に悪意のあるAIモデルをフェッチしてロードするよう強制することで悪用できます。 研究者は、認証されていない攻撃者がオープンソースベクターデータベ
ChromaDB プロジェクトの最新 Python FastAPI バージョンの最大深刻度の脆弱性により、認証されていない攻撃者が公開されているサーバー上で任意のコードを実行できます。 この欠陥はCVE-2026-45829として追跡されており、2月17日に ChromaDB に報告されました。それを発見した企業
セキュリティ研究者たちは、Hugging Faceの最上位ランキングリポジトリの1つに隠されたコバート情報盗取マルウェアを発見しました。これはAIサプライチェーンがもたらす危険性の別の例です。 AI セキュリティベンダーのHiddenLayerは、ブログ投稿で、5月7日にOpen-OSS/privacy-filterが
攻撃者はHuggingFaceのOpenAIリポジトリをタイポスクワッティングし、「プライバシーフィルター」モデルに偽装したインフォスティーラーを配布しましたマルウェアはSSLチェックを無効化し、権限をエスカレーションし、sefirahペイロードをデプロイして、認証情報、暗号ウォレット、システムデータを盗み
すべての記事を読み込みました