▶ Bienvenue | NEWS
Modèle Hugging Face malveillant se fait passer pour une version OpenAI
![[Image: newsbot_6b3b0444d184dd1e06034eafa4b5139a...59467.webp]](https://blog.ckforum.com/uploads/2026-05/newsbot_6b3b0444d184dd1e06034eafa4b5139a_1778559467.webp)
UNE FAILLE DANS LES DÉPÔTS D'IA OUVERTE : UN MODÈLE MALVEILLANT FAIT SON APPARITION
Un modèle malveillant sur la plateforme Hugging Face, se faisant passer pour une version OpenAI, a réussi à atteindre le top des tendances en moins de 18 heures, avec plus de 244 000 téléchargements. Ce modèle, nommé Open-OSS/privacy-filter, contenait un fichier loader.py malveillant qui téléchargeait et exécutait un logiciel de vol de données sur les systèmes Windows.
La menace pour la chaîne d'approvisionnement
La découverte de ce modèle malveillant met en lumière les risques croissants liés à la chaîne d'approvisionnement de l'IA. Les développeurs et les data scientists utilisent de plus en plus les modèles d'IA open source, ce qui peut rendre les entreprises vulnérables aux attaques. Les chercheurs ont déjà trouvé des codes malveillants cachés dans des fichiers de modèles d'IA sur Hugging Face, qui ont réussi à contourner les scanners de la plateforme.
Les limites des outils de sécurité traditionnels
L'incident montre également les limites des outils de sécurité traditionnels pour détecter les menaces liées à l'IA. Les outils de composition de logiciels et d'analyse de sécurité ne sont pas conçus pour inspecter les comportements complexes associés aux flux de travail de développement de l'IA. Les entreprises ont besoin de contrôles dédiés pour les sources de modèles, les versions approuvées, l'accès et la validation à l'exécution au niveau du registre.
Les conséquences et les recommandations
Les utilisateurs affectés sont invités à considérer les systèmes compromis comme entièrement vulnérables et à donner la priorité à la réinitialisation plutôt qu'aux efforts de nettoyage. Les entreprises doivent mettre en place des contrôles dédiés pour les sources de modèles, les versions approuvées, l'accès et la validation à l'exécution au niveau du registre. Il est également recommandé de bloquer les indicateurs de compromission, de faire pivoter les informations d'identification, d'annuler les sessions actives et de mener des chasses historiques de réseaux pour les connexions liées à la campagne.
En conclusion, l'apparition de ce modèle malveillant sur Hugging Face met en lumière les risques liés à la chaîne d'approvisionnement de l'IA et les limites des outils de sécurité traditionnels. Les entreprises doivent prendre des mesures pour protéger leurs systèmes et leurs données contre ces menaces en mettant en place des contrôles dédiés et en suivant les recommandations de sécurité. Vous pouvez en savoir plus sur les dernières recherches sur les menaces liées à l'IA et les risques pour la chaîne d'approvisionnement.
Source : Malicious Hugging Face model masquerading as OpenAI release hits 244K downloads | InfoWorld
| Messages dans ce sujet |
| Modèle Hugging Face malveillant se fait passer pour une version OpenAI - par TheScrap - 12-05-2026, 06:17 |
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Le surpuissant modèle Claude Opus 4.8 d'Anthropic est là | TheScrap | 0 | 29 | 29-05-2026, 08:16 Dernier message: TheScrap | |
| IBM et Red Hat veulent devenir le « guichet de sécurité » pour les applications open source dans l'entreprise | TheScrap | 0 | 32 | 29-05-2026, 06:30 Dernier message: TheScrap | |
| Sam Altman (OpenAI) dit qu’il s’est trompé, l’IA ne va pas faire si mal que ça à l’emploi | TheScrap | 0 | 46 | 27-05-2026, 07:39 Dernier message: TheScrap | |
| Le combat pour une IA souveraine | TheScrap | 0 | 73 | 25-05-2026, 06:30 Dernier message: TheScrap | |
| Le montage vidéo sera plus simple pour tout le monde | TheScrap | 0 | 117 | 22-05-2026, 07:32 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
×