Hugging Face-feil gjorde modelllasting til RCE

En ny offentliggjort sårbarhet i Hugging Face Transformers viser hvor tynn sikkerhetsgrensen kan være når virksomheter henter modeller, konfigurasjoner og kode fra åpne AI-økosystemer.

Sårbarheten er registrert som CVE-2026-4372. Ifølge Pluto Security kunne en angriper legge inn et felt i en models config.json som fikk Transformers til å laste og importere ekstern Python-kode under helt vanlig modelllasting. Det kritiske poenget er at dette kunne skje selv når brukeren hadde satt trust_remote_code=False, altså kontrollen mange team bruker for å unngå kjøring av kode fra modellrepoer.

Angrepet handlet ikke om en eksotisk forskningsrigg. Det handlet om en vanlig operasjon i moderne AI-utvikling: from_pretrained(). En utvikler, data scientist eller byggagent kunne laste en modell som så legitim ut, og samtidig utløse kode fra et angriperkontrollert repository. Pluto beskriver angrepsveien gjennom feltet _attn_implementation_internal og Hugging Face sin kernel-loader. Når verdien lignet et owner/repo-mønster, kunne den behandles som en referanse til en Hub Kernel, lastes ned og importeres. Import av Python-kode er kjøring av kode.

Ikke alle Transformers-brukere var rammet. Pluto peker på versjonene 4.56.0 til og med 5.2.x, i kombinasjon med den valgfrie kernels-pakken. Den sårbare kodeveien skal ha blitt introdusert i august 2025 og fjernet i Transformers 5.3.0 i mars 2026. Sårbarheten ble offentlig beskrevet 4. juni 2026. Dermed er den akutte anbefalingen enkel: oppgrader til Transformers 5.3.0 eller nyere. Den vanskelige delen er å finne ut hva som faktisk har kjørt i miljøene det siste halvåret.

For norske teknologiledere er lærdommen større enn én Python-pakke. AI-forsyningskjeden består ikke lenger bare av applikasjonskode, containere og npm-/PyPI-avhengigheter. Den består også av modellkort, konfigurasjonsfiler, adaptere, evalueringsnotebooks, embeddings, vekter og små hjelpebiblioteker som lastes inn i utviklings- og produksjonsløp. Mange av disse flyter gjennom andre kontrollpunkter enn tradisjonell programvare.

Det skaper en blind flekk i MLOps. En modell kan oppfattes som data, men i praksis kan modelløkosystemet påvirke runtime, importere moduler og lese miljøvariabler. Hvis dette skjer på en utviklermaskin, i en notebook, i et GPU-miljø eller i en CI/CD-runner, kan konsekvensen være tap av skynøkler, SSH-nøkler, API-tokens, databasehemmeligheter og Kubernetes-konfigurasjon. Det er akkurat den typen tilgang angripere trenger for å gå fra AI-eksperiment til bredere infrastrukturkompromittering.

Pluto oppgir også hvorfor saken er relevant utenfor små forskningsmiljøer: Transformers har over 157.000 stjerner på GitHub, over 2,2 milliarder totale PyPI-installasjoner og rundt 146 millioner nedlastinger i måneden. Hugging Face Hub har mer enn én million modeller. Tallene betyr ikke at alle var eksponert. De betyr at sårbarheter i dette laget raskt får et nedslagsfelt som minner mer om klassisk programvareforsyningskjede enn nisje-AI.

CISO-er bør behandle funnet som en inventar- og eksponeringssak, ikke bare som en patchnotis. Første steg er å kartlegge hvor Transformers brukes, hvilke versjoner som ligger i notebooks, containere, treningsjobber, evalueringsjobber og interne agentmiljøer, og om kernels-pakken er installert. Deretter bør team sjekke om ukjente eller uverifiserte modeller ble lastet i perioden fra slutten av august 2025 til mars 2026. Har slike modeller kjørt i miljøer med reelle hemmeligheter, bør hemmeligheter roteres og logger gjennomgås.

CIO-er og CTO-er bør stramme inn arbeidsflyten rundt modellinnhenting. Modellrepoer bør få samme behandling som kodepakker: pinning av versjoner og revisjoner, allowlisting av kilder, isolerte sandkasser for første gangs evaluering, begrensede nettverksrettigheter og hemmelighetsfrie testmiljøer. Det holder ikke å be utviklere om å være forsiktige hvis verktøyene samtidig gjør nedlasting og import usynlig i normal arbeidsflyt.

Styrenivået trenger ikke lære detaljene i _attn_implementation_internal. Men det bør forstå at AI-innføring har flyttet angrepsflaten. Når virksomheten tar i bruk åpne modeller, agentverktøy og automatisert modelltesting, kommer det en ny leverandør- og forsyningskjede inn i risikobildet. Den må inn i policy, innkjøp, logging, hendelseshåndtering og teknisk kontroll.

Denne saken er også en advarsel mot falsk trygghet i én sikkerhetsbryter. trust_remote_code=False var ment å redusere risiko, men Pluto viser at en annen kodevei kunne omgå forventningen. Kontrollene må derfor bygges i lag: oppdatert bibliotek, isolert runtime, minst mulig tilgang, modell-allowlist, dependency scanning, nettverkskontroll og overvåking av uventede prosesser ved modelllasting.

Kortversjonen: Hvis virksomheten bruker Hugging Face Transformers, må den vite hvor, med hvilke versjoner og med hvilke rettigheter. Hvis svaret er uklart, er det ikke en dokumentasjonsfeil. Det er en sikkerhetsrisiko.

Kilder og medier

Primærkilde: Pluto Security, «Unauthenticated Remote Code Execution in HuggingFace Transformers via Config Injection», publisert 4. juni 2026. Source: https://pluto.security/blog/unauthenticated-remote-code-execution-in-huggingface-transformers-via-config-injection/

Kildekreditering: Pluto Security. Thumbnail: OpenAI Image 2 / hogby.ai.