Обнаружены критические уязвимости в популярных Python-библиотеках NeMo, Uni2TS и FlexTok, используемых в моделях машинного обучения на Hugging Face. Исследователи Unit 42 установили, что злоумышленники могут внедрять вредоносный код через метаданные, который активируется при загрузке файла, что ведет к удаленному выполнению кода (RCE). Разработчики уже выпустили исправления.
Python-библиотеки для искусственного интеллекта (ИИ) и машинного обучения (МО) — NeMo, Uni2TS и FlexTok, используемые в моделях Hugging Face, — имеют серьезные уязвимости. Как выяснили исследователи из Unit 42 компании Palo Alto Networks, злоумышленники могут использовать их для сокрытия вредоносного кода в метаданных. После внедрения этот код автоматически активируется при загрузке файла с измененными метаданными.
Технически уязвимости затрагивают, в частности, функцию instantiate() библиотеки Hydra. Это Python-библиотека, которую используют все три ИИ/МО-библиотеки. Сама Hydra поддерживается компанией *Meta (материнская компания *Facebook) и часто применяется как инструмент управления конфигурацией для проектов машинного обучения.
Пока нет угрозы в реальном мире
Несмотря на широкое распространение уязвимостей, эксперты по безопасности пока не обнаружили их в реальной среде. Однако они не дают повода для успокоения; напротив, они предупреждают, что у злоумышленников остается обширное поле для их эксплуатации.
Кертис Кармони, исследователь вредоносного ПО из Unit 42, объясняет ситуацию так: «Обычно разработчики создают собственные варианты передовых моделей с различными тонкими настройками и квантованием, зачастую это делают исследователи, не связанные с авторитетными институтами». Злоумышленникам же остается лишь модифицировать уже существующую, широко используемую модель, «предлагающую реальное или мнимое преимущество, и добавить вредоносные метаданные».
Ситуация усугубляется тем, что Hugging Face делает метаданные менее доступными, чем другие файлы, а также не маркирует файлы, использующие форматы Safetensors или NeMo, как потенциально небезопасные.
Широкое распространение — широкая поверхность атаки
Еще один фактор, по данным Unit 42, заключается в том, что на Hugging Face для моделей ИИ и МО используется более 100 Python-библиотек, и почти 50 из них задействуют Hydra. Кармони поясняет, что сами форматы не являются небезопасными, но «код, который их использует, создает очень большую поверхность атаки».
Технически это связано с тем, как NeMo, Uni2TS и FlexTok загружают конфигурации из метаданных модели, используя функцию hydra.utils.instantiate(). Это позволяет осуществить удаленное выполнение кода (Remote Code Extraction, RCE). Создатели или кураторы этих библиотек, похоже, что-то упустили, как отмечает Unit 42:
instantiate() принимает не только имя класса, который необходимо инициализировать, но и имя любой вызываемой функции, передавая ей указанные аргументы. Это имеет серьезные последствия, поскольку злоумышленник может легче извлечь код, используя встроенные функции Python, такие как eval() и os.system().
Реакция на эту проблему уже последовала: *Meta обновила документацию Hydra и теперь предупреждает о возможности RCE при использовании instantiate().
Для трех затронутых ИИ/МО-библиотек были приняты следующие меры:
- Поскольку NeMo разработана компанией Nvidia, компания выпустила бюллетень CVE-2025-23304 и внедрила исправление в версии NeMo 2.3.2.
- Uni2TS разработана Salesforce. Этот производитель также зарегистрировал CVE (CVE-2026-22584) и выпустил исправление.
- Flextok, разработанная совместно Apple и Лабораторией визуального интеллекта и обучения Федеральной политехнической школы Лозанны (EPFL VILAB), уже исправлена. Особенность: эксперты Unit 42 считают, что по состоянию на январь 2026 года ни одна другая модель на Hugging Face не использует библиотеку ml-flextok.
*Facebook, *Instagram и *WhatsApp принадлежат компании Meta Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Tristan Fincken