漏洞总结:HuggingFace Transformers 任意远程代码执行漏洞 漏洞概述 漏洞名称:通过 库中 配置注入导致的任意远程代码执行 (RCE)。 CVE 编号:CVE-2026-4372 严重程度:高危 (High) 漏洞类型:CWE-1066: 缺失序列化控制元素 受影响版本:所有版本(最新为 5.2.0) 修复状态:已修复 (Fixed) 发现者:yotampe-pluto 核心原理: 攻击者可以构造恶意的 HuggingFace Hub 仓库 ID。当受害者使用标准的 API 加载模型时,如果未设置 ,该漏洞依然会被触发。攻击者利用 中的通用 循环,将 属性设置为恶意仓库 ID。随后, 会下载并导入该仓库中的 Python 代码,从而在受害者机器上以最高权限执行任意代码。 影响范围 攻击向量:本地 (Local),无需用户交互。 影响面:任何加载 AI 模型的 ML 工程师、CI/CD 流水线或生产系统均受影响。 具体危害: 绕过所有现有安全机制( 标志被旁路)。 读取用户可访问的任何文件(SSH 私钥、云凭证、Kubernetes 配置、数据库连接字符串等)。 将凭证外泄到攻击者控制的服务器。 安装持久化后门、勒索软件或加密软件。 利用窃取的凭证横向移动,渗透企业基础设施。 破坏 CI/CD 流水线。 修复方案 状态:已修复。 建议:升级 库至最新版本。 概念验证 (POC) 代码 1. 攻击者恶意内核仓库 ( ) 此代码上传到 HuggingFace Hub 作为 仓库。 2. 攻击者模型仓库配置 ( ) 此文件上传到 HuggingFace Hub 作为 仓库,与有效的权重文件一起。 3. 受害者触发代码 受害者运行以下标准代码加载模型,触发 RCE。 4. 执行输出示例 执行后,在受害者机器上 生成的内容: