פרצת RCE ב-Hugging Face Transformers: השתלטות חשאית דרך קובצי config של מודלים

חוקרים ב-Pluto Security חשפו פגיעות remote code execution בחומרה גבוהה ב-Hugging Face Transformers, שמתועדת כעת כ-CVE-2026-4372, שמאפשרת לתוקפים לחדור למערכות שמריצות את הספרייה הפופולרית לבדיקה או deploy של מודלי AI. ה-exploit מוסיף פרמטר תמים-למראה, `_attn_implementation_internal`, לקובץ קונפיגורציה של מודל מרוחק, ועוקף את ה-flag של `trust_remote_code=false` שבדרך כלל מונע הרצת remote code — 'אין אזהרות runtime, אין בקשות הסכמה, אין רשומות log חריגות', ציינו החוקרים.

רדיוס הנזק הוא החלק המדאיג: חבילת ה-PyPI של Transformers מורדת מעל 146 מיליון פעמים בחודש, עם 2.2 מיליארד התקנות בסך הכל ומעל 161 אלף כוכבים ב-GitHub, והיא מוטמעת ברחבי סביבות enterprise ו-pipelines של CI/CD שמשמשים ל-fine-tune של מודלים על נתונים קנייניים. שדה שמתחיל בקו תחתון ו'נראה כמו פרט מימוש פנימי' הוא בדיוק סוג הדבר שקבצי קונפיגורציה מלאים בו, מה שהופך את ההזרקה לקשה לאיתור ב-review.

החשיפה מדגישה את סיכון ה-supply-chain המחמיר של AI, ונוחתת באותו שבוע שבו weights של Gemma 4 מבית Google הגיעו ל-Hugging Face ותנועת ה-local-model זינקה — בדיוק ה-workflows שמושכים configs לא-מהימנים מ-hub ציבורי. היא מצטרפת להדגמות של AI worms שמשכפלים את עצמם ולהשתלטות על חשבונות ה-chatbot של Meta כשבוע של תזכורות-יקיצה בתחום ה-AI security.

עבור אנשי מקצוע, הפעולה המיידית היא שדרוג מעבר לגרסאות המושפעות והתייחסות לקבצי קונפיגורציה של מודלים כאל קוד לא-מהימן. כדאי לעקוב אחרי כמה מהר ה-ecosystem יתקן בהינתן כמה pipelines מקבעים גרסאות ישנות של Transformers, והאם Hugging Face יחזק את ניתוח הקונפיגורציה בצד הפלטפורמה.