网络安全研究人员发现了人工智能供应链中的一个严重漏洞，该漏洞使攻击者能够跨主要云平台实现远程代码执行，包括 Microsoft Azure AI Foundry、Google Vertex AI 和数千个开源项目。

新发现的攻击方法被称为“模型命名空间重用”，利用了人工智能平台在 Hugging Face 生态系统中管理和信任模型标识符的方式中的一个根本缺陷。

该漏洞源于 Hugging Face 的命名空间管理系统，其中模型使用两部分命名约定进行标识：Author/ModelName。

当组织或作者从 Hugging Face 中删除其帐户时，其唯一命名空间将返回到可用池，而不是永久保留。

这为恶意行为者注册以前使用的命名空间并以受信任的名称上传受感染的模型创造了机会，这可能会影响任何仅按名称引用模型的系统。

Palo Alto Networks 分析师在对 AI 平台安全实践的广泛调查中发现了这种供应链攻击媒介。

研究表明，该漏洞不仅影响与 Hugging Face 的直接集成，还扩展到将 Hugging Face 模型纳入其目录的主要云 AI 服务。

鉴于人工智能模型在企业环境中的广泛采用以及对模型命名约定的隐含信任，此次攻击的范围尤其令人担忧。

攻击机制通过两种主要场景进行作。在第一种情况下，当模型作者的帐户被删除时，命名空间将立即可用于重新注册。

第二种情况涉及所有权转让，其中模型被移动到新组织，然后删除原始作者帐户。

在这两种情况下，恶意行为者都可以利用命名空间重用，将合法模型替换为包含恶意有效负载的受损版本。

技术实施和攻击媒介

研究人员通过针对 Google Vertex AI 和 Microsoft Azure AI Foundry 的受控概念验证攻击展示了该漏洞的实际影响。

在他们的测试中，他们成功注册了废弃的命名空间并上传了嵌入了反向 shell 有效负载的模型。

当云平台部署这些看似合法的模型时，恶意代码会自动执行，从而授予攻击者访问底层基础设施的权限。

from transformers import AutoTokenizer, AutoModelForCausalLM

# Vulnerable code pattern found in thousands of repositories
tokenizer = AutoTokenizer.from_pretrained("AIOrg/Translator_v1")
model = AutoModelForCausalLM.from_pretrained("AIOrg/Translator_v1")

该攻击的有效性在于它利用了自动化部署过程。当 Vertex AI 的 Model Garden 或 Azure AI Foundry 的 Model Catalog 等平台按名称引用模型时，它们会无意中创建持久性攻击面。

研究人员记录了在 Google Cloud Platform 和 Azure 环境中获得对具有提升权限的专用容器的访问权限，这证明了潜在违规行为的严重性。