Hugging Face は2026年7月16日(現地時間)、同社の生産インフラの一部が自律型AIエージェントシステムによってサイバー攻撃を受けたことを明らかにした。この攻撃により、限定的な内部データセットと複数のサービス認証情報への不正アクセスが確認されたものの、公開されているユーザー向けモデルやデータセットへの改ざんは見られなかったと発表した。

今回の攻撃は、データ処理パイプラインにおける二つのコード実行パス(リモートコードデータセットローダーとデータセット構成でのテンプレートインジェクション)を悪用して始まった。処理ワーカー上でコードが実行された後、攻撃者はノードレベルのアクセスに昇格し、クラウドおよびクラスターの認証情報を取得して複数の内部クラスターへ横展開した。

同社は、自律型エージェントフレームワークが数千もの個別アクションを実行してキャンペーンを進めたことを指摘している。Hugging Face は根本的な脆弱性を修正し、攻撃者の足場を排除して侵害されたノードを再構築した。また、影響を受けた認証情報とトークンを失効・ローテーションし、追加のガードレールと厳格なアクセス制御を展開し、検知・アラートシステムを改善した。外部サイバーセキュリティ専門家と協力して調査を進め、法執行機関にも報告した。

Hugging Face は、AI支援検知パイプラインとLLM駆動分析エージェントを駆使して、攻撃を検知・分析した。しかし、フォレンジック分析で商用APIのフロンティアモデルを使用しようとした際、攻撃コマンドやペイロードの送信がプロバイダーの安全ガードレールによりブロックされたため、オープンウェイトモデル「GLM 5.2」を自社インフラで実行して分析を完了させた。この経験は、インシデント発生時にガードレールによるロックアウトを避け、攻撃者データを環境外に出さないためにも、自社インフラで実行可能な能力のあるモデルを準備しておくことの重要性を示唆する。同社はコミュニティに対し、アクセストークンのローテーションとアカウントの最近のアクティビティ確認を推奨している。

このサイバー攻撃の事例からは、データ処理パイプラインにおける脆弱性対策の強化が重要であると指摘できる。リモートコードデータセットローダーやテンプレートインジェクションの脆弱性に対するCI/CDパイプラインでのセキュリティレビュー、静的コード解析、依存関係スキャンを強化し、本番環境へのデプロイ前に潜在的な攻撃経路を特定し、悪用を防ぐ仕組みの構築が求められる。

また、権限管理とネットワーク分離の徹底も不可欠であり、ノードレベルのアクセス昇格や内部ネットワークへの横展開を防ぐため、最小権限の原則を適用し、役割に応じた厳格なアクセス制御を導入する。クラウド環境では、ネットワークセグメンテーションやマイクロセグメンテーションを実装し、攻撃の拡散を最小限に抑えることが有効とされる。

さらに、インシデント対応能力の確保の重要性も浮き彫りになった。フォレンジック分析時に外部APIへの依存がボトルネックとなるリスクを考慮し、組織のインフラ内で実行可能な分析用AIモデルを事前に準備する体制が望まれる。AIを活用した検知・分析ツールを導入し、自律的な攻撃キャンペーンに迅速に対応できる体制を構築することが、今後の課題として挙げられる。


参考: Hugging Face Blog — 2026年7月16日 09:00 (JST)

この記事をシェア
X はてブ LinkedIn