Auf den Punkt: Hugging Face Transformers erlaubt stumme Remote Code Execution über getarnte Parameter in Modellkonfigurationen, solange das optionale Kernels-Paket installiert ist (CVE-2026-4372, gepatcht in 5.3.0).
Eine kritische Sicherheitslücke (CVE-2026-4372) in der Hugging Face Transformers-Bibliothek ermöglicht Remote Code Execution über manipulierte Modellkonfigurationen. Die Anfälligkeit betrifft Versionen ab 4.56.0 (August 2024), wurde erst in Version 5.3.0 gepatcht und wird wöchentlich 7 bis 8 Millionen Mal heruntergeladen.
Die Sicherheitslücke wurde von Forschern der Pluto Security identifiziert und nutzt einen manipulierten Parameter namens _attn_implementation_internal in Remote-Modellkonfigurationsdateien auf Hugging Face. Dieser Parameter umgeht die normalerweise aktivierte Schutzmaßnahme trust_remote_code=false, die die automatische Ausführung von Remote-Code verhindern soll. Das Exploit verlässt keine Warnung, keine Bestätigungsdialoge und keine auffälligen Protokolleinträge hinter sich.
Die Hugging Face Transformers-Bibliothek wird monatlich über 146 Millionen Mal heruntergeladen und weist insgesamt 2,2 Milliarden Installationen auf. Sie ermöglicht Python-Entwicklern die Bereitstellung von über 1 Million Machine-Learning-Modellvarianten auf lokaler Hardware oder Cloud-Instanzen und ist weit verbreitet in Enterprise-Umgebungen sowie CI/CD-Pipelines. Die Anfälligkeit betrifft etwa ein Viertel aller wöchentlichen Installationen, die weiterhin vulnerable Versionen nutzen.
Die Sicherheitslücke entsteht durch drei zusammenwirkende Design-Entscheidungen: Beim Laden eines Modells mit AutoModelForCausalLM.from_pretrained() verwendet die Bibliothek die Funktion setattr, um alle Schlüssel-Wert-Paare aus der config.json-Datei zu parsen und in das Konfigurationsobjekt zu laden. Gleichzeitig wurde im März 2024 ein Feature namens Hub Kernels eingeführt, das es Nutzern erlaubt, benutzerdefinierte compilierte Attention-Kernel zu hosten – diese verbessern die GPU-Performance erfordern jedoch das zusätzliche Paket kernels. Anfällig sind Systeme, auf denen dieses optional Kernels-Paket installiert ist, was besonders bei GPU-beschleunigter Inferenz häufig der Fall ist – also gerade bei den wertvollsten Zielumgebungen wie Enterprise-ML-Plattformen und GPU-Clustern.
Hugging Face hat die Lücke am 3. März 2025 durch die Veröffentlichung von Transformers 5.3.0 gepatcht. Das Repository zählt über 161.000 GitHub-Sterne und ist einer der höchstbewerteten Projekte der Plattform, weshalb das Auswirkungspotenzial einer RCE-Schwachstelle erheblich ist. Dies unterstreicht die wachsende Relevanz von Sicherheit in der AI Supply Chain, da Angreifer zunehmend manipulierte Modelle auf Hugging Face hosten, um Systeme zu kompromittieren.
Quelle: www.csoonline.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.