Sicherheit

Hugging Face: Autonomer KI-Agent hackt interne Systeme

2 Min. Lesezeit
Sicherheitsanalysten prüfen nachts Server-Protokolle und Netzwerkdiagramme nach einem Cyberangriff auf die Infrastruktur von Hugging Face. Generiertes Bild mit GPT Image 2
Sicherheitsanalysten prüfen nachts Server-Protokolle und Netzwerkdiagramme nach einem Cyberangriff auf die Infrastruktur von Hugging Face.

TL;DR Too Long; Didn’t read

Hugging Face hat einen Angriff offengelegt, den ein autonomer KI-Agent über ein Wochenende hinweg mit mehr als 17.000 Einzelaktionen ausführte. Der Agent nutzte zwei Schwachstellen in der Datensatz-Pipeline, um sich Zugang zu internen Clustern und Zugangsdaten zu verschaffen. Öffentliche Modelle und Datensätze blieben nach Unternehmensangaben unberührt.

Das Wichtigste in Kürze

  • Mehr als 17.000 automatisierte Angriffsaktionen an einem einzigen Wochenende registriert.
  • Ein präparierter Datensatz mit zwei Pipeline-Schwachstellen verschaffte den ersten Zugriff.
  • Kommerzielle KI-Modelle verweigerten die Analyse, weil Anfragen Exploit-Code enthielten.
  • Hugging Face wich für die Forensik auf das offene Modell GLM-5.2 aus.
  • Öffentliche Modelle, Datensätze und Spaces blieben nach Unternehmensangaben unangetastet.
  • Betroffene Nutzerinnen und Nutzer sollen ihre Zugangstoken umgehend erneuern.

Hugging Face hat einen Sicherheitsvorfall offengelegt, bei dem ein autonomer KI-Agent ohne fortlaufende menschliche Steuerung in die interne Infrastruktur des Unternehmens eindrang. Der Angreifer setzte übers Wochenende mehr als 17.000 einzelne Aktionen in kurzlebigen Rechenumgebungen ab und erreichte dabei mehrere interne Cluster.

Manipulierter Datensatz öffnet Zugang zu internen Servern

Der Angriff begann laut Hugging Face mit einem präparierten Datensatz. Dieser kombinierte zwei Schwachstellen in der Verarbeitungs-Pipeline: einen Lader mit Fernausführungsrisiko und eine Template-Injection in der Datensatz-Konfiguration. Darüber verschaffte sich der Agent zunächst Zugriff auf einzelne Verarbeitungsserver des Unternehmens.

Von dort bewegte sich der Angreifer schrittweise weiter, zunächst auf einzelne Rechenknoten, anschließend in mehrere interne Cluster. Dabei griff er auf einen begrenzten Bestand interner Datensätze zu und erbeutete mehrere Dienst-Zugangsdaten. Für die einzelnen Schritte nutzte der Agent nach Unternehmensangaben ein autonomes Framework, das eigenständig Ziele auswählte und Aktionen ausführte, ohne dass ein Mensch jeden Schritt einzeln freigab. Insgesamt zeichnete Hugging Face nach eigenen, unabhängig nicht verifizierten Angaben mehr als 17.000 solcher Aktionen auf, verteilt über zahlreiche kurzlebige Sandboxen an einem einzigen Wochenende.

Öffentliche Modelle, Datensätze und Spaces der Plattform seien nach Angaben des Unternehmens nicht manipuliert worden, ebenso wenig die Software-Lieferkette. Für Kundinnen und Kunden, die Modelle oder Datensätze von Hugging Face beziehen, bestehe demnach keine unmittelbare Gefährdung durch den Vorfall selbst.

Offenes Modell übernimmt die forensische Auswertung

Bei der Aufklärung stieß Hugging Face auf ein Hindernis: Kommerzielle KI-Modelle verweigerten nach eigenen Angaben die Analyse einzelner Angriffsschritte. Grund dafür war, dass die zugehörigen Datenpakete Exploit-Code enthielten und damit gegen die Nutzungsrichtlinien der Anbieter verstießen. Das Unternehmen wich deshalb auf das offene Modell GLM-5.2 aus und betrieb die forensische Auswertung auf eigener Infrastruktur.

„Der Angreifer war an keine Nutzungsrichtlinie gebunden, unsere eigene forensische Arbeit dagegen schon”, schreibt Hugging Face in der Meldung. Mit dieser Methode wertete das Sicherheitsteam mehr als 17.000 protokollierte Angreifer-Ereignisse aus. Die Untersuchung habe dadurch nur Stunden statt der sonst üblichen mehreren Tage gedauert. Der Fachdienst HyperAI ordnete den Vorfall als Beleg für eine strukturelle Asymmetrie ein: Angreifende KI-Systeme kennen demnach keine Schutzvorkehrungen, während verteidigende Werkzeuge durch eigene Sicherheitsfilter ausgebremst würden.

Als Reaktion schloss Hugging Face die betroffenen Code-Pfade, widerrief kompromittierte Zugangsdaten und zog externe forensische Spezialisten sowie Strafverfolgungsbehörden hinzu. Nutzerinnen und Nutzer der Plattform sollen ihre Zugangstoken erneuern und ihre Kontoaktivität überprüfen.

Offen bleibt, wer hinter dem Angriff steckt und ob es sich um einen Sicherheitsforscher, einen Wettbewerber oder kriminelle Akteure handelte – Hugging Face nennt dazu keine Hinweise. Entscheidend wird, ob andere Anbieter von Modell- und Datensatz-Plattformen ähnliche Asymmetrien zwischen offensiven und defensiven KI-Werkzeugen beheben, bevor vergleichbare automatisierte Angriffe zum Standardrepertoire werden.

Häufige Fragen

Sind bei Hugging Face gespeicherte Modelle von Kundinnen und Kunden durch den Vorfall gefährdet?

Nach Angaben des Unternehmens gibt es keine Hinweise auf Manipulationen an öffentlichen Modellen, Datensätzen oder der Software-Lieferkette. Wer unsicher ist, sollte dennoch die eigene Kontoaktivität im Nachhinein prüfen.

Was sollten Nutzerinnen und Nutzer der Plattform jetzt tun?

Hugging Face empfiehlt, Zugangstoken zu erneuern und ungewöhnliche Aktivitäten im eigenen Konto zu kontrollieren. Bei Verdachtsfällen steht eine eigene Kontaktadresse für Sicherheitsfragen bereit.

Wer steckt hinter dem Angriff?

Hugging Face nennt in der Offenlegung keinen Verantwortlichen. Das Unternehmen hat den Fall an externe Forensiker sowie an Strafverfolgungsbehörden übergeben.

Ist das der erste bekannte Fall eines autonom durch KI ausgeführten Angriffs?

Hugging Face beschreibt den Vorfall als seltenes dokumentiertes Beispiel für einen weitgehend eigenständig ausgeführten Angriff in diesem Umfang. Unabhängig bestätigte Vergleichsfälle ähnlicher Größenordnung sind bislang kaum öffentlich dokumentiert.

Warum konnte ein kommerzielles KI-Modell bei der Aufklärung nicht helfen?

Die Analyse-Anfragen enthielten Exploit-Code aus dem Angriff, den die Nutzungsrichtlinien der kommerziellen Anbieter blockierten. Hugging Face wich deshalb auf ein offenes Modell auf eigener Infrastruktur aus.


← Zurück zum Blog