Hugging Face hat einen Sicherheitsvorfall offengelegt, bei dem ein autonomer KI-Agent ohne fortlaufende menschliche Steuerung in die interne Infrastruktur des Unternehmens eindrang. Der Angreifer setzte übers Wochenende mehr als 17.000 einzelne Aktionen in kurzlebigen Rechenumgebungen ab und erreichte dabei mehrere interne Cluster.
Manipulierter Datensatz öffnet Zugang zu internen Servern
Der Angriff begann laut Hugging Face mit einem präparierten Datensatz. Dieser kombinierte zwei Schwachstellen in der Verarbeitungs-Pipeline: einen Lader mit Fernausführungsrisiko und eine Template-Injection in der Datensatz-Konfiguration. Darüber verschaffte sich der Agent zunächst Zugriff auf einzelne Verarbeitungsserver des Unternehmens.
Von dort bewegte sich der Angreifer schrittweise weiter, zunächst auf einzelne Rechenknoten, anschließend in mehrere interne Cluster. Dabei griff er auf einen begrenzten Bestand interner Datensätze zu und erbeutete mehrere Dienst-Zugangsdaten. Für die einzelnen Schritte nutzte der Agent nach Unternehmensangaben ein autonomes Framework, das eigenständig Ziele auswählte und Aktionen ausführte, ohne dass ein Mensch jeden Schritt einzeln freigab. Insgesamt zeichnete Hugging Face nach eigenen, unabhängig nicht verifizierten Angaben mehr als 17.000 solcher Aktionen auf, verteilt über zahlreiche kurzlebige Sandboxen an einem einzigen Wochenende.
Öffentliche Modelle, Datensätze und Spaces der Plattform seien nach Angaben des Unternehmens nicht manipuliert worden, ebenso wenig die Software-Lieferkette. Für Kundinnen und Kunden, die Modelle oder Datensätze von Hugging Face beziehen, bestehe demnach keine unmittelbare Gefährdung durch den Vorfall selbst.
Offenes Modell übernimmt die forensische Auswertung
Bei der Aufklärung stieß Hugging Face auf ein Hindernis: Kommerzielle KI-Modelle verweigerten nach eigenen Angaben die Analyse einzelner Angriffsschritte. Grund dafür war, dass die zugehörigen Datenpakete Exploit-Code enthielten und damit gegen die Nutzungsrichtlinien der Anbieter verstießen. Das Unternehmen wich deshalb auf das offene Modell GLM-5.2 aus und betrieb die forensische Auswertung auf eigener Infrastruktur.
„Der Angreifer war an keine Nutzungsrichtlinie gebunden, unsere eigene forensische Arbeit dagegen schon”, schreibt Hugging Face in der Meldung. Mit dieser Methode wertete das Sicherheitsteam mehr als 17.000 protokollierte Angreifer-Ereignisse aus. Die Untersuchung habe dadurch nur Stunden statt der sonst üblichen mehreren Tage gedauert. Der Fachdienst HyperAI ordnete den Vorfall als Beleg für eine strukturelle Asymmetrie ein: Angreifende KI-Systeme kennen demnach keine Schutzvorkehrungen, während verteidigende Werkzeuge durch eigene Sicherheitsfilter ausgebremst würden.
Als Reaktion schloss Hugging Face die betroffenen Code-Pfade, widerrief kompromittierte Zugangsdaten und zog externe forensische Spezialisten sowie Strafverfolgungsbehörden hinzu. Nutzerinnen und Nutzer der Plattform sollen ihre Zugangstoken erneuern und ihre Kontoaktivität überprüfen.
Offen bleibt, wer hinter dem Angriff steckt und ob es sich um einen Sicherheitsforscher, einen Wettbewerber oder kriminelle Akteure handelte – Hugging Face nennt dazu keine Hinweise. Entscheidend wird, ob andere Anbieter von Modell- und Datensatz-Plattformen ähnliche Asymmetrien zwischen offensiven und defensiven KI-Werkzeugen beheben, bevor vergleichbare automatisierte Angriffe zum Standardrepertoire werden.


