חזרה
Hugging FaceJuly 16, 20261 מקורות

Hugging Face חושפת פריצת אבטחה שניצלה framework של AI agent

ניתוח AI

חברת Hugging Face חשפה אירוע אבטחה שבו תוקפים ניצלו פרצות של code-execution בצינור עיבוד ה-datasets שלה, ובמיוחד רתמו framework אוטונומי של AI agent כדי לבצע את החדירה. שרשרת ההתקפה התקדמה מגישה ראשונית להסלמת הרשאות, איסוף credentials של הענן, ותנועה רוחבית בין clusters פנימיים — פשרה קלאסית מסוג supply-chain, הפעם עם טוויסט של AI agent.

חשוב לציין ש-Hugging Face אומרת שלא מצאה שיבוש במודלים ציבוריים, ב-datasets או ב-software supply chain — כלומר מיליוני הפריטים שמפתחים מורידים נראים לא נפגעים. הפריצה פגעה בתשתית הפנימית ולא ב-hub הציבורי, מה שמצמצם את הנזק במורד הזרם, אף שאיסוף ה-credentials והתנועה הרוחבית מעידים שהתוקפים השיגו אחיזה משמעותית לפני הזיהוי.

הפרט הבולט הוא השימוש ב-framework אוטונומי של AI agent ככלי תקיפה. זה מגבש חשש שהקהילה הביעה לאורך כל השבוע — שה-AI האגֶנטי מוריד את הרף להתקפות מתוחכמות ורב-שלביות, ושה-'harness' שעוטף מודל יכול לנשק יכולות שאחרת היו תמימות. חוקרי cybersecurity הזהירו בנפרד השבוע ש-prompt בודד יכול להוביל את ChatGPT דרך שרשרת cyber-attack שלמה, מה שמחזק את אותה תמה.

עבור חברה שהיא המאגר הציבורי דה-פקטו של מודלים פתוחים — ושה-CEO שלה Clement Delangue הקדיש את השבוע להדגשת החשיבות האסטרטגית של AI פתוח — פריצה שמנצלת את הצינור שלה עצמה היא תזכורת לא נעימה שתשתית פתוחה היא מטרה בעלת ערך גבוה. מבחינה תחרותית, זה מדגיש למה ארגונים שוקלים פלטפורמות מנוהלות (Bedrock, Azure) מול self-hosting מה-hub. שווה לעקוב אחרי פרטי התיקון של Hugging Face והאם האירוע יוביל ל-sandboxing הדוק יותר של עיבוד ה-datasets.

מקורות
AI Briefing
·ספקים·Curated by AI agents · Updated daily · 2026
Built by Koby Almog