{"id":6611,"date":"2026-01-19T10:49:27","date_gmt":"2026-01-19T10:49:27","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6611"},"modified":"2026-01-19T10:49:27","modified_gmt":"2026-01-19T10:49:27","slug":"python-bibliotheken-fur-hugging-face-modelle-vergiftet","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6611","title":{"rendered":"Python-Bibliotheken f\u00fcr Hugging-Face-Modelle vergiftet"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Python-Libraries sind mit manipulierten Metadaten in KI-Modellen infiziert und k\u00f6nnen beim Laden Schadcode ausgef\u00fchren.<\/p>\n<p class=\"imageCredit\">Agus_Gatam \u2013 shutterstock<\/p>\n<\/div>\n<p>NeMo, Uni2TS und FlexTok, <a href=\"https:\/\/www.computerwoche.de\/article\/2795515\/wie-sie-python-richtig-installieren.html\" target=\"_blank\" rel=\"noopener\">Python<\/a>-Bibliotheken f\u00fcr K\u00fcnstliche Intelligenz (KI) und Machine Learning (ML), die in Hugging-Face-Modellen verwendet werden, haben gravierende Schw\u00e4chen. Wie Forschende von Palo Alto Networks\u2018 Unit 42 <a href=\"https:\/\/unit42.paloaltonetworks.com\/rce-vulnerabilities-in-ai-python-libraries\/\" target=\"_blank\" rel=\"noopener\">herausgefunden<\/a> haben, k\u00f6nnen Kriminelle diese nutzen, um Schadcode in Metadaten zu verstecken. Einmal eingeschleust, wird der Code automatisch ausgel\u00f6st, sobald eine Datei mit den manipulierten Metadaten geladen wird.<\/p>\n<p>Technisch gesehen, betreffen die Schwachstellen insbesondere die `instantiate()`-Funktion von Hydra. Hierbei handelt es sich um eine Python-Bibliothek, die von allen drei KI-und ML-Bibliotheken verwendet wird. Hydra selbst wird von der Facebook-Mutter Meta gepflegt und h\u00e4ufig als Konfigurationsmanagement-Tool f\u00fcr <a href=\"https:\/\/www.computerwoche.de\/article\/3836634\/woran-machine-learning-scheitert.html\" target=\"_blank\" rel=\"noopener\">Machine-Learning<\/a>-Projekte genutzt.<\/p>\n<h2 class=\"wp-block-heading\">Noch keine Gefahr in der freien Wildbahn<\/h2>\n<p>Obwohl die Schwachstellen damit recht weit verbreitet sind, wollen die Sicherheitsexperten sie bis jetzt noch nicht in freier Wildbahn entdeckt haben. Entwarnung geben sie allerdings nicht, ganz im Gegenteil: Sie warnen davor, dass Angreifer weiterhin reichlich Gelegenheit haben, sie auszunutzen.<\/p>\n<p>Curtis Carmony, Malware-Forscher bei Unit 42, erkl\u00e4rt die Situation so: \u201eEs ist \u00fcblich, dass Developer eigene Varianten modernster Modelle mit unterschiedlichen Feinabstimmungen und Quantisierungen erstellen, oft von Forschenden, die keiner renommierten Institution angeh\u00f6ren.\u201c Angreifende m\u00fcssten dann nur noch ein bereits existierendes, weit verbreitetes Modell modifizieren, welches \u201eeinen tats\u00e4chlichen oder vermeintlichen Vorteil bietet, und dann sch\u00e4dliche Metadaten hinzuf\u00fcgen.\u201c<\/p>\n<p>Dadurch, dass Hugging Face die Metadaten nicht so leicht zug\u00e4nglich macht wie andere Dateien sowie Dateien, die Safetensors oder das NeMo-Dateiformat verwenden, nicht als potenziell unsicher kennzeichnet, wird die Situation noch versch\u00e4rft.<\/p>\n<h2 class=\"wp-block-heading\">Viel Verbreitung, viel Angriffsfl\u00e4che<\/h2>\n<p>Ein weiterer Faktor ist, dass, laut Unit 24 \u00fcber 100 Python-Libraries auf Hugging Face f\u00fcr KI- und ML-Modelle verwendet werden \u2013 und fast 50 von ihnen Hydra nutzen. Carmony erl\u00e4utert, dass diese Formate an sich nicht unsicher sind, aber \u201eder Code, der sie verwendet, eine sehr gro\u00dfe Angriffsfl\u00e4che\u201c bietet.<\/p>\n<p>Technisch h\u00e4ngt dies damit zusammen, wie NeMo, Uni2TS und FlexTok die Funktion `hydra.utils.instantiate()` verwenden, um Konfigurationen aus den Modellmetadaten zu laden. Hierdurch ist es m\u00f6glich, eine Remote Code Extraction (RCE) durchzuf\u00fchren. Die Sch\u00f6pfer, beziehungsweise Betreuer dieser Bibliotheken scheinen dabei etwas \u00fcbersehen zu haben, wie Unit 42 ausf\u00fchrt:<\/p>\n<p>`instantiate()` akzeptiert nicht nur den Namen der zu instanziierenden Klassen, es verwendet auch den Namen einer beliebigen aufrufbaren Funktion und \u00fcbergibt ihr die angegebenen Argumente. Das hat gravierende Folgen, denn sobald ein Angreifender eingebaute Python-Funktionen wie eval() und os.system() verwendet, kann er leichter Code exfiltrieren.<\/p>\n<p>Eine Reaktion auf diesen Umstand ist mittlerweile erfolgt: Meta hat die Hydra-Dokumentation aktualisiert und warnt nun davor, dass RCE m\u00f6glich ist, wenn `instantiate()` verwendet wird.<\/p>\n<p>F\u00fcr die drei KI\/ML-Bibliotheken wurden die folgenden Ma\u00dfnahmen ergriffen:<\/p>\n<p>Da NeMo von Nvidia entwickelt wurde, hat das Unternehmen inzwischen eine <a href=\"https:\/\/nvidia.custhelp.com\/app\/answers\/detail\/a_id\/5686\" target=\"_blank\" rel=\"noopener\">CVE-2025-23304<\/a> herausgegeben und einen Fix in der NeMo-Version 2.3.2 ver\u00f6ffentlicht.<\/p>\n<p>Uni2TS wurde von Salesforce entwickelt. Auch dieser Hersteller hat eine CVE gemeldet (<a href=\"https:\/\/help.salesforce.com\/s\/articleView?id=005239354&amp;type=1\" target=\"_blank\" rel=\"noopener\">CVE-2026-22584<\/a>) und einen Fix ver\u00f6ffentlicht.<\/p>\n<p>Flextok, gemeinsam entwickelt von Apple und dem Visual Intelligence and Learning Laboratory der Eidgen\u00f6ssischen Technischen Hochschule Lausanne (EPFL VILAB), wurde inzwischen gefixt. Eine Besonderheit hier: Die Experten von Unit 42 gehen davon aus, dass Stand Januar 2026 keine weiteren Modelle auf Hugging Face die ml-flextok-Library benutzen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Python-Libraries sind mit manipulierten Metadaten in KI-Modellen infiziert und k\u00f6nnen beim Laden Schadcode ausgef\u00fchren. Agus_Gatam \u2013 shutterstock NeMo, Uni2TS und FlexTok, Python-Bibliotheken f\u00fcr K\u00fcnstliche Intelligenz (KI) und Machine Learning (ML), die in Hugging-Face-Modellen verwendet werden, haben gravierende Schw\u00e4chen. Wie Forschende von Palo Alto Networks\u2018 Unit 42 herausgefunden haben, k\u00f6nnen Kriminelle diese nutzen, um Schadcode in [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":6612,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6611"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6611"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6611\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6612"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}