Python-Bibliotheken für Hugging-Face-Modelle vergiftet

NeMo, Uni2TS und FlexTok, Python-Bibliotheken für Künstliche Intelligenz (KI) und Machine Learning (ML), die in Hugging-Face-Modellen verwendet werden, haben gravierende Schwächen. Wie Forschende von Palo Alto Networks‘ Unit 42 herausgefunden haben, können Kriminelle diese nutzen, um Schadcode in Metadaten zu verstecken. Einmal eingeschleust, wird der Code automatisch ausgelöst, sobald eine Datei mit den manipulierten Metadaten geladen wird.

Technisch gesehen, betreffen die Schwachstellen insbesondere die `instantiate()`-Funktion von Hydra. Hierbei handelt es sich um eine Python-Bibliothek, die von allen drei KI-und ML-Bibliotheken verwendet wird. Hydra selbst wird von der Facebook-Mutter Meta gepflegt und häufig als Konfigurationsmanagement-Tool für Machine-Learning-Projekte genutzt.

Noch keine Gefahr in der freien Wildbahn

Obwohl die Schwachstellen damit recht weit verbreitet sind, wollen die Sicherheitsexperten sie bis jetzt noch nicht in freier Wildbahn entdeckt haben. Entwarnung geben sie allerdings nicht, ganz im Gegenteil: Sie warnen davor, dass Angreifer weiterhin reichlich Gelegenheit haben, sie auszunutzen.

Curtis Carmony, Malware-Forscher bei Unit 42, erklärt die Situation so: „Es ist üblich, dass Developer eigene Varianten modernster Modelle mit unterschiedlichen Feinabstimmungen und Quantisierungen erstellen, oft von Forschenden, die keiner renommierten Institution angehören.“ Angreifende müssten dann nur noch ein bereits existierendes, weit verbreitetes Modell modifizieren, welches „einen tatsächlichen oder vermeintlichen Vorteil bietet, und dann schädliche Metadaten hinzufügen.“

Dadurch, dass Hugging Face die Metadaten nicht so leicht zugänglich macht wie andere Dateien sowie Dateien, die Safetensors oder das NeMo-Dateiformat verwenden, nicht als potenziell unsicher kennzeichnet, wird die Situation noch verschärft.

Viel Verbreitung, viel Angriffsfläche

Ein weiterer Faktor ist, dass, laut Unit 24 über 100 Python-Libraries auf Hugging Face für KI- und ML-Modelle verwendet werden – und fast 50 von ihnen Hydra nutzen. Carmony erläutert, dass diese Formate an sich nicht unsicher sind, aber „der Code, der sie verwendet, eine sehr große Angriffsfläche“ bietet.

Technisch hängt dies damit zusammen, wie NeMo, Uni2TS und FlexTok die Funktion `hydra.utils.instantiate()` verwenden, um Konfigurationen aus den Modellmetadaten zu laden. Hierdurch ist es möglich, eine Remote Code Extraction (RCE) durchzuführen. Die Schöpfer, beziehungsweise Betreuer dieser Bibliotheken scheinen dabei etwas übersehen zu haben, wie Unit 42 ausführt:

`instantiate()` akzeptiert nicht nur den Namen der zu instanziierenden Klassen, es verwendet auch den Namen einer beliebigen aufrufbaren Funktion und übergibt ihr die angegebenen Argumente. Das hat gravierende Folgen, denn sobald ein Angreifender eingebaute Python-Funktionen wie eval() und os.system() verwendet, kann er leichter Code exfiltrieren.

Eine Reaktion auf diesen Umstand ist mittlerweile erfolgt: Meta hat die Hydra-Dokumentation aktualisiert und warnt nun davor, dass RCE möglich ist, wenn `instantiate()` verwendet wird.

Für die drei KI/ML-Bibliotheken wurden die folgenden Maßnahmen ergriffen:

Da NeMo von Nvidia entwickelt wurde, hat das Unternehmen inzwischen eine CVE-2025-23304 herausgegeben und einen Fix in der NeMo-Version 2.3.2 veröffentlicht.

Uni2TS wurde von Salesforce entwickelt. Auch dieser Hersteller hat eine CVE gemeldet (CVE-2026-22584) und einen Fix veröffentlicht.

Flextok, gemeinsam entwickelt von Apple und dem Visual Intelligence and Learning Laboratory der Eidgenössischen Technischen Hochschule Lausanne (EPFL VILAB), wurde inzwischen gefixt. Eine Besonderheit hier: Die Experten von Unit 42 gehen davon aus, dass Stand Januar 2026 keine weiteren Modelle auf Hugging Face die ml-flextok-Library benutzen.