Introduction
Une faille critique a été découverte dans la bibliothèque Transformers de Hugging Face, permettant à des modèles d'intelligence artificielle contrôlés par des attaquants d'exécuter du code arbitraire sur la machine d'une victime. Cette faille a été signalée par Pluto Security Inc. et est référencée sous le numéro CVE-2026-4372.
Contexte Technique
La faille se produisait lors du chargement d'un modèle à l'aide de la commande from_pretrained(), même pour les organisations qui suivaient les recommandations de sécurité de Hugging Face. Un attaquant devait simplement insérer une charge malveillante dans le fichier de configuration du modèle pour que le code soit exécuté sans avertissement.
La bibliothèque Transformers est l'un des packages d'IA les plus utilisés, avec plus de 2,2 milliards de téléchargements et environ 146 millions de téléchargements par mois. La faille affectait les versions 4.56.0 à 5.2.x du package avec le package kernels installé.
Analyse et Implications
La faille pouvait être exploitée pour voler des informations d'identification cloud, des clés d'API, des clés SSH, des configurations Kubernetes, des informations d'identification de base de données, du code source et des jeux de données propriétaires. Les plates-formes d'IA d'entreprise, les pipelines d'évaluation de modèles automatisés et les environnements avec prise en charge GPU étaient parmi les cibles les plus exposées.
La faille a été corrigée par Hugging Face dans la version 5.3.0 de Transformers, publiée le 4 mars, en bloquant les valeurs de configuration contrôlées par les attaquants pour empêcher leur exécution et en exigeant un consentement explicite de l'utilisateur avant de charger des noyaux externes non fiables.
Perspective
Il est essentiel pour les organisations de reconnaître que le chargement de modèles est de plus en plus une frontière de sécurité et de la traiter en conséquence. Hugging Face recommande de mettre à jour vers la version 5.3.0 ou ultérieure, d'auditer les configurations de modèles en cache et de traiter le chargement de modèles comme une surface d'exécution de code.
