文章总结： HuggingFace热门AI库NeMo、Uni2TS、FlexTok因Hydra的instantiate()函数缺陷遭元数据投毒，攻击者可嵌入隐蔽恶意代码并在模型加载时远程执行；Unit42发现并协助修复，已获CVE，平台未对元数据做危险提示，开发者应升级库、校验模型来源并限制自动加载。 综合评分： 88 文章分类： 漏洞预警,AI安全,代码审计,威胁情报,应用安全

Hugging Face模型中使用的热门Python库遭遇元数据投毒攻击

会杀毒的单反狗

军哥网络安全读报

2026年1月14日 09:04 湖北

导读

在Hugging Face模型中使用的、下载量达数千万次的热门人工智能和机器学习Python库存在漏洞，这使得远程攻击者能够在元数据中隐藏恶意代码。当包含被篡改元数据的文件被加载时，这些代码会自动执行。

源库——NeMo、Uni2TS和FlexTok——分别由英伟达、 Salesforce和苹果公司与瑞士联邦理工学院视觉智能与学习实验室（EPFL VILAB）合作创建。

这三个库都使用了Hydra，这是另一个由Meta维护的Python库，通常用作机器学习项目的配置管理工具。具体来说，这些漏洞与Hydra的instantiate()函数有关。

帕洛阿尔托网络公司的Unit 42研究人员发现了这些安全漏洞，并向这些库的维护者进行了报告，维护者此后发布了安全警告、修复程序，其中两个漏洞还获得了CVE编号。

尽管威胁猎人表示，到目前为止尚未发现这些漏洞在实际环境中被滥用，但“攻击者有足够的机会利用它们”。

“开发人员创建自己的最先进模型变体是很常见的，这些变体有着不同的微调与量化方式，而且其开发者往往是与任何知名机构都无关联的研究人员。”Unit 42在周二的一份分析报告中写道。

“攻击者只需对现有的热门模型稍作修改，无论是真的有改进还是声称有改进，然后添加恶意元数据即可。”

此外，Hugging Face 并没有像处理其他文件那样让元数据内容易于访问，也没有将使用其 safetensors 或 NeMo 文件格式的文件标记为具有潜在危险性。

Hugging Face上的模型使用了100多种不同的Python库，其中近50种使用Hydra。“虽然这些格式本身可能是安全的，但处理它们的代码存在非常大的攻击面。”

《The Register》联系了Hugging Face以及这些库的维护者（Meta、英伟达、Salesforce和苹果），但只收到了一个回复。回复来自Salesforce的一位发言人，他告诉我们：“我们在2025年7月主动修复了这个问题，没有证据表明客户数据遭到了未授权访问。”

技术报告：

《使用现代AI/ML格式和库的远程代码执行》 https://unit42.paloaltonetworks.com/rce-vulnerabilities-in-ai-python-libraries/

新闻链接：

https://www.theregister.com/2026/01/13/ai_python_library_bugs_allow/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《Hugging Face模型中使用的热门Python库遭遇元数据投毒攻击》