セキュリティ企業HiddenLayerの調査によると、Hugging Face上でOpenAIの公式リリースを装った悪意あるリポジトリが発見された。このリポジトリはWindowsマシン向けに情報窃取型マルウェアを配布しており、削除されるまでに約24万4000回のダウンロードを記録していた。ただし、ダウンロード数は攻撃者によって人為的に水増しされた可能性があり、実際の被害規模は不明である。
偽リポジトリは「Open-OSS/privacy-filter」という名称で、OpenAIのPrivacy Filterリリースを模倣していた。HiddenLayerの報告によれば、原本のモデルカードがほぼ正確にコピーされており、悪意のあるファイルはloader.pyとして実装されていた。このファイルはWindowsホスト上で認証情報を盗むマルウェアを取得して実行する仕組みになっており、18時間未満で667のいいねを獲得しHugging Faceのトレンドリストでトップに達した。
公開AIモデルレジストリは、ソフトウェアサプライチェーン上のリスクになりつつある。開発者やデータサイエンティストがモデルを直接企業環境にクローンすると、ソースコードやクラウド認証情報、内部システムへのアクセスが危険にさらされる。偽モデルのREADMEファイルは正規プロジェクトと酷似していたが、Windowsではstart.bat、LinuxやmacOSではpython loader.pyの実行を指示する点で異なっていた。
過去にも、Hugging Faceなどの公開レジストリで、AIモデルファイルや関連セットアップスクリプト内に悪質なコードが隠されている事例が研究者によって警告されている。今回のloader.pyは通常のAIモデルローダーを装った偽装コードから始まり、SSL検証を無効化し、base64エンコードされたURLをデコードしてリモートペイロードを取得、PowerShellに渡す感染チェーンを実行していた。AIモデルを利用する際は、公式ソースの確認とファイル内容の検証が今後より一層重要になる。
※詳細は元記事をご確認ください
