2026年7月16日 09:00
Hugging Faceに自律型AI侵入、認証情報流出
Security incident disclosure — July 2026
3行まとめ
- •Hugging Faceに自律AIが不正侵入
- •データセット経由で認証情報流出
- •公開モデル・Spacesは改ざんなし
詳細
概要
Hugging Faceは2026年7月、自律型AIエージェントによる不正侵入を検知したと公式発表した。攻撃者は同社のデータ処理パイプラインに存在した固有の脆弱性を悪用し、悪意あるデータセットを介して初期アクセスを獲得した。侵入により内部データセットと複数の認証情報が不正に取得されたことが確認されている。
影響範囲
一般公開されているモデル、データセット、Spacesについては改ざんの証拠は見つかっておらず、コンテナイメージや公開パッケージを含むソフトウェアサプライチェーンも検証の結果クリーンであることが確認された。ただしパートナー企業や顧客データへの影響については現在も調査が継続中で、全容はまだ判明していない。
対応と技術的背景
Hugging Faceは脆弱性を修正してデータセット実行経路を閉鎖し、流出した認証情報の失効・ローテーション、クラスタの再構築、アクセス制御とアラート機能の強化を実施した。法執行機関にも報告済みという。同社は今回の法医学的分析にオープンウェイトモデル「GLM 5.2」を用いており、商用APIの安全ガイドラインに妨げられずにインシデント対応を行えた点を強調している。
なぜ重要か
自律型AIエージェントによる侵入という新型攻撃の実例で、AI開発者は認証情報管理の見直しが急務。
元記事を読む — Hugging Face Blog