警惕!你在 HuggingFace 下载的 AI 模型,可能是黑客埋的雷:复盘近期三起供应链攻击

AI 社区最可怕的事情发生了：开发者最信任的模型平台，正在成为黑客的猎物。

2026 年 5 月 12 日，安全公司 HiddenLayer 在 HuggingFace 上发现了一个恶意仓库——Open-OSS/privacy-filter，伪装成 OpenAI 开源的”Privacy Filter”隐私脱敏模型。页面做得非常专业，文件目录、README、示例代码都与正版几乎完全一致。

但它实际上是信息窃取木马（Infostealer）。一旦你按说明下载运行，恶意代码就会执行，攻击者可以远程控制你的机器、窃取 .env 中的 API 密钥、SSH 密钥、数据库密码等一切敏感信息。

HiddenLayer 向 HuggingFace 投诉后，该仓库被下架。但在此之前，它已登上热门榜第一，不到 18 小时下载量约 24.4 万次。

这不是孤例。近一年以来，HuggingFace 已多次出现恶意模型。攻击者正在把 AI 供应链当成新的突破口。

【事件一】假冒 OpenAI Privacy Filter

2026 年 5 月 12 日，HiddenLayer 披露：恶意仓库 Open-OSS/privacy-filter 伪装成 OpenAI 4 月底开源的隐私脱敏模型，页面与正版高度一致，实际内藏 Infostealer。下载量超 20 万次。安全公司建议：优先重建开发环境，而非仅手动清理恶意软件（IT之家 5 月 12 日报道）。

【事件二】Xinference PyPI 投毒

2026 年 4 月，AI 部署工具 Xinference 在 PyPI 上被投毒，受影响版本 2.6.0/2.6.1/2.6.2。恶意代码自动执行，窃取云平台凭据、API 密钥、数据库密码、加密货币钱包、环境变量。建议：卸载并回退到 2.5.0，更换所有可能泄露的敏感凭证，必要时重建开发环境（腾讯安全 4 月 30 日报道）。

【事件三】”损坏”pickle 文件绕过检测

2025 年 2 月，ReversingLabs 在 HuggingFace 发现两个恶意模型（glockr1/ballr7 和 who-r-u0000/0000000000000000000000000000000000000），利用 7z 格式压缩的 pickle 文件绕过 Picklescan 检测，恶意载荷放在 pickle 流开头，执行后即断裂，无法反编译。HuggingFace 已更新 Picklescan 修复

为什么 AI 供应链攻击突然爆发？

•  AI 开发者安全意识整体偏低，很多人不知道加载模型等于执行来历不明的代码

•  AI 模型供应链比传统软件更好攻击：只需上传一个看似合理的模型，等待开发者自己上钩

•  检测技术永远在追赶攻击者

自保方法：

1. 下载模型前查来源，别信热门榜

2加载模型用 trust_remote_code=False

3. 用虚拟环境或 Docker 隔离 AI 项目

4. API 密钥不写进代码，用环境变量注入

5. 定期用 pip-audit 检查依赖漏洞