Pluto Security Inc. a révélé aujourd'hui une vulnérabilité critique d'exécution de code à distance dans la bibliothèque Transformers de Hugging Face Inc., qui permettait à des modèles d'intelligence artificielle contrôlés par des attaquants d'exécuter du code arbitraire sur la machine d'une victime.
La faille s'est déclenchée via une commande de chargement de modèle standard, même pour les organisations qui ont suivi les directives de sécurité recommandées par Hugging Face. Suivie sous le nom CVE-2026-4372, la faille a vaincu trust_remote_code=False, les organisations de configuration désactivant la vérification en toute sécurité des modèles extraits de Hugging Face Hub.
Il suffisait à un attaquant d'insérer une charge utile malveillante dans le fichier de configuration d'un modèle. Le chargement de ce modèle avec from_pretrained() a exécuté le code. Aucun avertissement n'est apparu.
Transformers est l’un des packages d’IA les plus utilisés au monde. Il a été téléchargé plus de 2,2 milliards de fois, génère environ 146 millions de téléchargements par mois et contient plus de 157 000 étoiles GitHub et Hugging Face Hub héberge plus d'un million de modèles. Pluto estime que les versions vulnérables à elles seules ont été téléchargées 232 millions de fois au cours des six mois de mise en ligne de la faille.
Le bogue a atteint les versions 4.56.0 à 5.2.x sur les systèmes sur lesquels le package de noyaux est installé. Il est apparu pour la première fois dans la version 4.56.0, publiée le 29 août et Pluto affirme que chaque version ultérieure l'a porté jusqu'au patch.
Ce qui distinguait cette faille, c'était qu'elle ne nécessitait aucun avertissement, invite ou paramètre dangereux. Les attaques antérieures contre l’écosystème de l’IA consistaient généralement à inciter les utilisateurs à exécuter manuellement des scripts ou des chargeurs suspects. Celui-ci pourrait être déclenché par un téléchargement de routine sans rien d’extraordinaire à l’écran.
« Les organisations ont passé des années à élaborer des politiques autour de l'idée que le fait de garder trust_remote_code désactivé rend le chargement des modèles sécurisé », a déclaré Yotam Perkal, directeur de la recherche en sécurité chez Pluto Security. « Cette vulnérabilité a montré que cette hypothèse pouvait être brisée. Un seul champ de configuration malveillant pourrait transformer le téléchargement d'un modèle standard en une compromission silencieuse du système. »
Une exploitation réussie pourrait permettre aux attaquants de voler les informations d'identification du cloud, les clés d'interface de programmation d'applications, les clés SSH, les configurations Kubernetes, les informations d'identification de base de données, le code source et les ensembles de données propriétaires. Les plates-formes d'IA d'entreprise, les pipelines d'évaluation de modèles automatisés et les environnements compatibles GPU figuraient parmi les cibles les plus exposées.
Pluton a signalé le problème à Hugging Face en février. Hugging Face l'a corrigé dans la version 5.3.0 de Transformers, publiée le 4 mars, en empêchant les valeurs de configuration contrôlées par les attaquants d'atteindre le chemin de code vulnérable et en exigeant le consentement explicite de l'utilisateur avant de charger des noyaux externes non fiables.
La société recommande de passer immédiatement à la version 5.3.0 ou ultérieure, d'auditer les configurations de modèles mis en cache et de traiter le chargement du modèle comme une surface d'exécution de code. La présence de _attn_implementation_internal dans tout fichier config.json mis en cache ou téléchargé est un signal d'alarme, selon l'entreprise.
« L'industrie de l'IA a rendu le téléchargement de modèles à partir d'Internet aussi routinier que l'installation de progiciels », a déclaré Shahar Bahat, co-fondateur et directeur général de Pluto. « À mesure que ces écosystèmes continuent de croître, les organisations doivent reconnaître que le chargement de modèles constitue de plus en plus une limite de sécurité et la traiter en conséquence. »
