文章总结： HuggingFace与ClawHub等AI平台遭系统性供应链攻击，数百恶意模型/技能可窃取凭证、植入后门或劫持代理挖矿。攻击利用pickle序列化绕过检测，反映AI开源生态信任机制与架构缺陷。建议加强模型分发渠道安全扫描、完善上传审核与依赖验证机制，提升供应链整体防护能力。 综合评分： 83 文章分类： 供应链安全,AI安全,恶意软件,漏洞分析,安全建设

AI模型与技能库充斥恶意程序沦为入侵攻击的主要渠道

原创

thenextweb thenextweb

安全行者老霍

2026年5月20日 08:00 北京

在小说阅读器读本章

去阅读

作者：Ana Maria Constantin

发布时间：2026 年 5 月 8 日

#

全球两大 AI 模型与智能体技能托管平台Hugging Face与ClawHub遭到系统性入侵，平台内已出现数百条恶意资源，可窃取账号凭证、植入后门、劫持 AI 智能体开展虚拟货币挖矿。

AI 领域两大核心软件供应链已遭到系统性破坏。Hugging Face托管着超百万个机器学习模型，几乎全球所有 AI 企业都在使用该平台资源，目前平台内已发现数百个恶意模型，用户一旦下载加载这类模型，攻击者即可在其设备上执行任意代码。面向OpenClawAI 代理生态的公共技能注册平台ClawHub，也遭到有组织的渗透攻击，攻击者在此植入 341 项恶意技能，用于窃取凭证、搭建反向 Shell、劫持 AI 代理进行虚拟货币挖矿。

两类攻击技术手段不同，但攻击逻辑完全一致：均利用开发者对开源共享仓库的固有信任，借助 AI 行业为提速研发搭建的基础设施，反过来实施入侵破坏。

1. 恶意模型相关情况

早在 2024 年，Hugging Face就已察觉平台内存在恶意模型，彼时安全厂商JFrog与ReversingLabs就先后发现内置后门的恶意模型，而该问题不仅没有得到管控，反而不断扩散蔓延。

与Hugging Face达成合作、负责平台模型安全扫描的Protect AI，累计检测超四百万个模型，在 51700 个模型中筛查出约 35.2 万项不安全及可疑风险项。JFrog也查获上百个可执行任意代码的恶意模型。该攻击手段被命名为nullifAI，利用机器学习模型通用打包格式 Python pickle 序列化格式实施攻击。攻击者将恶意 Python 代码嵌入 pickle 字节流头部，同时采用 7z 格式替代平台默认 ZIP 格式进行压缩，以此绕过Hugging Face内置的PickleScan检测工具。

这类恶意载荷行为特征十分明显。安全研究人员发现，部分恶意模型会建立指向固定 IP 地址的反向 Shell，让攻击者直接掌控加载模型的设备；还有部分恶意模型用于窃取账号凭证、窃取环境变量、下载植入其他恶意程序。科研人员与研发人员下载看似正规的模型用于项目研究与线上业务部署时，极有可能直接将设备控制权交由攻击者。

事后Hugging Face联合JFrog与Wiz升级平台安全扫描能力，接入JFrog检测能力后，恶意模型识别误报率下降 96%。但平台开放架构既是赋能行业发展的核心优势，也埋下安全隐患 — 平台支持任何人上传模型资源，现有扫描机制仅能识别已知恶意特征，而专门针对扫描规则研发的nullifAI攻击手段，可轻松规避常规安全检测。

2. 恶意智能技能相关情况

OpenClaw旗下 AI 代理生态技能注册平台ClawHub，面临同类但表现形式不同的安全危机。目前OpenClaw用户规模已达 320 万，还与OpenAI达成合作，但其技能仓库已然成为攻击者的重点目标。攻击者清楚，AI 代理运行恶意技能时，可调用代理自身拥有的全部权限，在企业环境中，这类权限可覆盖数据库、各类 API、内网资源以及云端密钥。

Koi Security对ClawHub平台内全部 2857 项技能完成安全审计，查出 341 项恶意技能，其中 335 项均出自名为ClawHavoc的同一组织化攻击行动。除此之外，Snyk发起的ToxicSkills生态安全调研显示，全行业 36% 的 AI 代理技能存在安全漏洞，约 900 项技能被定性为恶意程序，占整体数量约两成；某单一开发者发布的 30 项技能，可在后台静默劫持 AI 代理进行虚拟货币挖矿。

依托当下主流智能体架构，ClawHub平台的恶意技能具备极高危险性。随着模型上下文协议等行业标准在智能体领域普及，全新的软件供应链攻击场景随之诞生：AI 系统可自主从外部仓库挑选并运行各类工具组件。用户无需手动点击链接、打开文件，只要 AI 代理在工作流程中调用这类恶意技能，恶意代码就会直接继承代理权限并自动执行。

3. 同类攻击趋势

针对Hugging Face与ClawHub的入侵事件，是近年来软件行业供应链攻击在 AI 领域的典型表现。

2026 年 3 月，PyPI平台上的LiteLLM程序包遭到篡改，超 50 万组账号凭证存在泄露风险，其中包含Meta、OpenAI、Anthropic等平台接口密钥，受此次泄露事件影响，Meta紧急暂停 AI 数据相关研发工作。

2026 年 4 月，npm平台上的Bitwarden CLI程序包遭劫持篡改，劫持时长 90 分钟，恶意程序专门用于窃取Claude Code、Cursor、Codex CLI、Aider等 AI 代码开发工具内的账号凭证。时隔数日，PyTorch Lightning程序包遭遇时长 42 分钟的恶意篡改，植入Mini Shai-Hulud攻击组织研发的凭证窃取载荷。

就连开源安全扫描工具Trivy都遭到恶意投毒，致使欧盟委员会相关系统遭受入侵，这也证明即便是用于防范供应链攻击的安全工具，也有可能沦为攻击载体。美国国防部也已于 2026 年 3 月正式发布 AI 与机器学习供应链风险指导文件，从官方层面认定 AI 软件生态安全问题已然上升至国家安全层面。

这类攻击具备统一特征：攻击窗口期极短。PyTorch Lightning篡改攻击仅持续 42 分钟，Bitwarden CLI劫持时长 90 分钟，LiteLLM攻击窗口期也仅为数小时。这类攻击并非长期潜伏式入侵，不会留给防护团队充足排查时间，而是短时间定向植入恶意代码，利用现代软件开发自动化依赖拉取机制完成传播。开发者一旦在攻击窗口期内执行程序包安装命令，就会下载被篡改的恶意版本，攻击窗口期随即关闭，安全损害已然造成。

4. 攻防失衡现状

整个 AI 行业投入数千亿资金用于模型训练、推理基础设施搭建以及各类应用开发，但用于保障开源资源仓库安全防护的资金投入占比极低。尽管Hugging Face携手安全厂商完善检测能力，ClawHub上线基础内容审核机制，各类程序包平台也陆续启用二次验证机制，但依旧无法杜绝上述各类攻击行为。

目前国家级网络势力已可研发能够规避传统安全检测的 AI 驱动型恶意程序，针对 AI 资源仓库的供应链攻击正是这类技术手段的延伸应用。部署在企业线上 AI 业务流程中的恶意模型，其危害远高于个人电脑病毒。这类恶意资源依托正规组件身份混入企业 AI 技术架构，能够悄无声息入侵企业自动化决策体系。

该类安全问题根源在于底层架构设计存在缺陷。AI 行业沿用过去二十年通用的开源仓库运营模式搭建研发基础设施：搭建开放公共仓库、允许全员自由上传资源、依托自动化工具批量拉取并运行仓库内代码资源，同时行业内普遍默认热门程序包与开源模型安全可靠。而 AI 模型与传统程序包存在本质区别：AI 模型属于序列化文件，在完成反序列化加载的瞬间就会自动执行内置代码，这也让基于 pickle 格式封装的模型风险远高于传统软件包，恶意代码可在用户完成人工核查之前直接运行触发。

如今 AI 供应链已然成为网络安全领域最具吸引力的攻击目标：开源仓库具备天然公信力、资源调用流程高度自动化、恶意载荷可在资源加载瞬间直接执行。各大主流安全机构实地调研后一致认定，当下 AI 行业将大量安全预算投入模型对齐优化与提示注入防御领域，却忽视了模型分发流通渠道的安全建设，整条 AI 软件分发供应链已然全面沦陷。

https://thenextweb.com/news/hugging-face-clawhub-malware-ai-supply-chain

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 thenextweb thenextweb《AI模型与技能库充斥恶意程序沦为入侵攻击的主要渠道》