3 Büyük Teknoloji Firması Savunmasız Açık Kaynak Araçlarını Hugging Face’e Gönderdi
Üç yapay zeka kütüphanesindeki güvenlik açıkları, saldırganların güvenliği ihlal edilmiş bir model dosyası yükleyerek kötü amaçlı kod çalıştırmasına olanak tanıyabilir. Kusurlar, Apple, Salesforce ve Nvidia tarafından oluşturulan ve Hugging Face’te toplu olarak on milyonlarca kez indirilen modellere güç veren açık kaynaklı araçları etkiliyor.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Palo Alto Networks, yapay zeka araştırmaları için tasarlanmış üç Python kütüphanesi olan NeMo, Uni2TS ve FlexTok’ta güvenlik sorunları tespit etti. Güvenlik açıkları, saldırganların, model yüklendiğinde otomatik olarak yürütülen yapay zekanın meta verilerine kod yerleştirmesine olanak tanıyor.
Üç kütüphanenin tümü, Meta tarafından sağlanan ve makine öğrenimi projelerinde popüler olan bir yapılandırma aracı olan Hydra’yı kullanıyor. Her kitaplık, ilk önce girişi düzgün bir şekilde kontrol etmeden, model meta verilerinden ayarları yüklemek için Hydra’nın örnekleme işlevini çağırır.
Palo Alto Networks, geçen ay itibarıyla saldırganların bu güvenlik açıklarından yararlandığına dair hiçbir kanıt bulamadı. Şirket, etkilenen satıcıları Nisan 2025’te bilgilendirerek onlara halka açılmadan önce sorunları çözmeleri için zaman tanıdı. Güvenlik açığının en az 2020’den beri mevcut olduğu görülüyor.
Nvidia, NeMo kütüphanesi için kusuru CVE-2025-23304 olarak izliyor ve onu yüksek önem derecesi olarak derecelendiriyor. Şirket, NeMo 2.3.2 sürümünde bir düzeltme yayınladı. Salesforce, Uni2TS kütüphanesi için kusuru CVE-2026-22584 ile izliyor ve 31 Temmuz 2025’te bir yama dağıtarak bunu yüksek önem derecesine sahip olarak derecelendirdi. FlexTok’un arkasındaki araştırmacılar, kodu geçen Haziran ayında güncelledi.
Güvenlik açıkları, kitaplıkların Hydra’nın örnekleme işlevini nasıl kullandığına ilişkin bir gözden kaçırmadan kaynaklanmaktadır. Bakımcılar, işlevi yalnızca kendi sınıflarının örneklerini oluşturmak için kullanmayı amaçladılar, ancak örneklemenin yalnızca sınıf adlarını değil, çağrılabilir herhangi bir işlevi kabul ettiğini gözden kaçırdılar.
Bir saldırgan, aşağıdaki gibi yerleşik Python işlevlerini değiştirerek bundan yararlanabilir: eval veya os.system. Kavram kanıtlama testlerinde araştırmacılar, builtins.exec uzaktan kod yürütmeyi sağlamak için.
Meta, o zamandan beri Hydra’nın belgelerini, örnekleme kullanılırken uzaktan kod yürütmenin mümkün olduğu konusunda uyarmak için güncelledi. Şirket, hedef değerleri yürütmeden önce tehlikeli işlevlere göre kontrol etmek için bir engelleme listesi mekanizması ekledi. Koruma dolaylı ithalat yoluyla atlanabilir. Bu ay itibariyle, Hydra sürümünde blok listesi mekanizması kullanılamıyor.
Nvidia, 2019 yılında üretken bir yapay zeka çerçevesi olarak NeMo’yu geliştirmeye başladı. Kitaplık, model ağırlıklarının yanı sıra bir meta veri dosyası içeren TAR dosyaları olan özel dosya formatlarını kullanır. NeMo bu dosyaları yüklediğinde, meta verileri önce kontrol etmeden doğrudan Hydra’nın örnekleme işlevine aktarır.
Hugging Face’teki 700’den fazla model NeMo formatını kullanıyor. Birçoğu, Nvidia’nın muhabbet kuşu modeli de dahil olmak üzere platformun en popüler teklifleri arasında yer alıyor. Nvidia, yapılandırmaları yürütmeden önce doğrulayan bir işlev ekleyerek sorunu çözdü. İşlev, NeMo, PyTorch ve ilgili kitaplıklardaki onaylanmış paketlerin izin verilenler listesine göre değerleri kontrol eder. Ayrıca içe aktarmaların beklenen sınıflar ve modüllerle eşleştiğini de doğrular.
Palo Alto’nun bulgularından önce bu kütüphanelerin güvensiz olabileceğine dair hiçbir belirti yoktu. Araştırma ekibi, Ekim 2025’te Hugging Face’teki modeller tarafından kullanılan 100’den fazla farklı Python kütüphanesini belirledi ve neredeyse 50’si Hydra’yı kullanıyordu. Bu formatlar bağımsız olarak güvenli olabilir ancak bunları tüketen kod geniş bir saldırı yüzeyi sunar.
Geliştiriciler, genellikle saygın kurumlarla bağlantısı olmayan araştırmacılardan, farklı konfigürasyonlara sahip popüler modellerin çeşitlemelerini oluşturur. Saldırganların yalnızca mevcut bir popüler modelin fayda iddiasıyla bir modifikasyonunu oluşturması ve ardından kötü amaçlı meta veriler eklemesi yeterlidir.