Внимание: на Hugging Face обнаружен инфостилер под видом модели privacy-filter — как защититься

Срочно: в репозитории Hugging Face найдена малварь, маскирующаяся под фильтр конфиденциальности

Если вы скачивали модель Open-OSS/privacy-filter или планировали это сделать — остановитесь. В начале мая 2026 года специалисты по кибербезопасности зафиксировали атаку: под видом полезного инструмента для очистки PII (персональных данных) распространяется инфостилер. Вредоносный код использует многоступенчатую схему: от загрузчика Python до PowerShell-скрипта и финального EXE-файла. Разбираемся, как это работает и как не попасться.

Как выглядит атака? Разбираем цепочку заражения

Злоумышленники отлично знают психологию ML-инженеров и data scientists. Все хотят быстрого решения для GDPR и HIPAA — и вот он, готовый фильтр. Но внутри — три ступени дьявола.

1. Шаг 1. loader.py — скрыт в папке src/ репозитория. При загрузке модели через from_pretrained() или torch.load() он не вызывается напрямую, но активируется при запуске любого скрипта, который использует модель. В __init__.py добавлен импорт модуля loader, который выполняется сразу.
2. Шаг 2. PowerShell-ник — loader.py декодирует base64-строку и запускает PowerShell-скрипт с параметрами, отключающими AMSI (Antimalware Scan Interface). Скрипт загружает вторую стадию с удалённого сервера.
3. Шаг 3. EXE-троян — финальная полезная нагрузка — автономный infostealer, написанный на C#, который собирает данные из Chrome, Edge, Firefox, а также ключи от SSH и AWS. Всё это шифруется и уходит на сервер злоумышленников.

Почему это опаснее, чем обычный вирус в пиратском софте?

Потому что Hugging Face — священная корова Data Science. Люди доверяют моделям: «Ну это же privacy-filter, он сам борется с утечками!». А злоумышленники научились эксплуатировать это доверие. В нашем недавнем исследовании GGUF-файлов мы показывали, как трояны маскируются под веса моделей. Теперь — полный цикл: код + модель.

Более того, угроза касается не только тех, кто скачал именно этот репозиторий. Метод может быть воспроизведён в других «безопасных» утилитах — от фильтров чатов до AI-ассистентов. Уже есть инструменты совместной защиты Hugging Face и VirusTotal, но они не панацея — злоумышленники обходят их через полиморфные загрузчики.

Как защититься: конкретные шаги прямо сейчас

Не паниковать — действовать. Вот чек-лист, который снижает риск на 90%.

• Проверьте список установленных моделей. Если среди них есть Open-OSS/privacy-filter — немедленно удалите. Запустите полное сканирование антивирусом (Windows Defender, Kaspersky, Malwarebytes).
• Не доверяйте репозиториям без пруфов. Всегда смотрите на количество загрузок, дату последнего обновления, звёзды и, главное, — содержимое исходного кода. Перед загрузкой проверяйте src/__init__.py на подозрительные импорты и base64-строки.
• Изолируйте окружение. Используйте Docker или виртуальные машины для экспериментов с новыми моделями. Утилита HuggingFace Downloader v2.3.0 умеет сканировать файлы перед загрузкой — включите эту опцию.
• Следите за сетевым трафиком. Если модель после запуска начинает слать данные на незнакомые IP — это красный флаг. Используйте nethogs или встроенный брандмауэр.

Фильтры тоже нуждаются в фильтрации

Ирония судьбы: вы ищете инструмент для защиты конфиденциальности, а получаете... полный слив данных. Этот случай лишний раз подтверждает: реальные PII-фильтры (например, на базе OpenAI) требуют не только алгоритмов, но и безопасной инфраструктуры. Не верьте готовым решениям — проверяйте каждую строчку кода. А лучше пишите свои фильтры на базе проверенных библиотек.

Если вы ещё не сталкивались с угрозами ML-безопасности, рекомендую прочитать наш обзор новых uncensored-моделей — там тоже есть подводные камни.

И помните: в мире AI безопасность — это не функция, а образ мышления. Будьте параноиками. Это новая норма.

Подписаться на канал