Présentation de l'incident
Hugging Face a identifié une faille de sécurité qui a permis un accès non autorisé à un ensemble limité de jeux de données internes et à plusieurs informations d'identification utilisées par leurs services.
Les premières investigations n'ont trouvé aucune preuve de falsification des modèles publics, des jeux de données ou des espaces, et la chaîne d'approvisionnement logiciel (images de conteneurs et packages publiés) a été vérifiée comme étant propre.
Contexte technique
L'intrusion a commencé par le pipeline de traitement des données, où les plateformes d'IA sont particulièrement exposées.
Un jeu de données malveillant a exploité deux chemins d'exécution de code dans le traitement des jeux de données (un chargeur de jeu de données à distance et une injection de modèle dans une configuration de jeu de données) pour exécuter du code sur un worker de traitement.
À partir de là, l'acteur a escaladé pour accéder au niveau du nœud, a récolté des informations d'identification cloud et de cluster, et s'est déplacé latéralement dans plusieurs clusters internes pendant un week-end.
Implications et limites
La campagne a été menée par un framework d'agent autonome (apparaissant comme construit sur un harnais de recherche de sécurité agentic - le modèle LLM utilisé n'est pas encore connu) exécutant des milliers d'actions individuelles à travers un essaim de sandboxs à courte durée de vie, avec un système de commandement et de contrôle auto-migrant sur des services publics.
Ceci correspond au scénario d'attaquant « agentic » que l'industrie a prévu.
Les mesures prises incluent la correction de la vulnérabilité racine, l'éradication de la base de l'attaquant, la révocation et la rotation des informations d'identification et des jetons affectés, ainsi que le déploiement de garde-fous supplémentaires et de contrôles d'admission plus stricts sur les clusters.
Conclusion et analyse
La détection initiale de l'attaque a été effectuée grâce à une détection assistée par l'IA.
Le pipeline de détection d'anomalies utilise une triage basée sur le LLM sur des données de télémétrie de sécurité pour séparer les signaux réels du bruit quotidien, et c'est la corrélation de ces signaux qui a signalé la compromission.
GLM 5.2, un modèle à poids ouvert, a été utilisé pour l'analyse forensique sur l'infrastructure interne.
Ceci a permis de reconstruire la chronologie, d'extraire les indicateurs de compromission, de cartographier les informations d'identification touchées, et de séparer l'impact réel de l'activité de diversion.
Grâce à cette approche, il a été possible de faire en quelques heures ce qui aurait normalement pris des jours, et de suivre la vitesse de l'adversaire.