AIが自律でHugging Face侵入|1.7万の記録

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • Hugging Faceが2026年7月16日、本番インフラへの侵入被害を公表しました
  • 攻撃は人間ではなく「自律型AIエージェントの群れ」が最初から最後まで実行しました
  • 侵入口は悪意あるデータセット。2つのコード実行経路から認証情報が盗まれました
  • 解析にもAIを使い、1万7000件超の攻撃ログを数時間で読み解きました
  • ただし商用AIの安全ガードが解析を拒否。防御側だけが縛られる「非対称性」が露呈しました

攻撃者が一睡もせず、週末じゅう数千回の攻撃を自動で試し続けたら、あなたの会社は気づけるでしょうか。AI業界最大級のプラットフォームで、それが現実に起きました。しかも防御側が反撃しようとしたとき、思わぬ壁にぶつかったのです。

何が起きたのか|Hugging Faceが公表した侵入

2026年7月16日、AIモデルの共有プラットフォーム「Hugging Face(ハギングフェイス)」が、本番インフラへの侵入を検知したと公表しました。

Hugging Faceは、世界中の開発者がAIモデルやデータセットを公開・入手する場所です。日本の企業やエンジニアも日常的に使う、AI界のGitHubのような存在です。

公表によると、一部の社内データセットと、サービスで使われていた複数の認証情報に不正アクセスがあったとのことです。認証情報とは、システムに入るための鍵にあたるものです。

ただし被害範囲には重要な留保があります。Hugging Faceは「公開されているモデル・データセット・Spacesが改ざんされた証拠はない」と明言しました。公開パッケージもクリーンだと検証済みです。

つまり、あなたが入手したモデルに毒が仕込まれた、という話ではありません。一方でパートナーや顧客データへの影響はまだ調査中です。

この事件を特別にしているのは、被害の大きさではありません。攻撃を実行したのが人間ではなかった点です。

侵入の入り口は「悪意あるデータセット」だった

攻撃はどこから始まったのでしょうか。Hugging Faceは「AIプラットフォームが構造的に無防備な場所、つまりデータ処理パイプライン」だったと説明しています。

2つのコード実行経路が悪用された

攻撃者は悪意あるデータセットを用意し、データセット処理にある2つの穴を突きました。

  • リモートコード・データセットローダー:データセットに付属したコードを読み込んで実行してしまう仕組み
  • データセット設定のテンプレートインジェクション:設定ファイルに仕込んだ文字列が、そのまま命令として実行されてしまう欠陥

これでデータセットを処理するワーカー(作業用サーバー)の上で、攻撃者のコードが動き出しました。

1台の侵入から社内クラスタ全体へ

攻撃者はここを足がかりに、ノードレベルの権限へ昇格します。次にクラウドとクラスタの認証情報を収集しました。

そして週末をまたいで、複数の社内クラスタへ横展開していきました。検知されたのは週明けです。誰も見ていない間に、侵入はじわじわ広がっていました。

なぜデータが危険なのか

データはただの数字や文章の集まりで、危険ではないと感じませんか。ところが機械学習の世界では、データセットに「読み込み方を書いたコード」が同梱されることがあるのです。その便利さが、そのまま攻撃の入り口になりました。

この問題は以前から知られています。2026年にはtransformersライブラリでCVE-2026-4372が報告されました。config.jsonに細工した項目を1つ入れるだけで、標準的な読み込み処理だけで任意のコードが動くというものです(バージョン5.3.0で修正済み)。

攻撃を実行したのは「AIエージェントの群れ」

今回の核心はここです。Hugging Faceは「この侵入は、最初から最後まで自律型AIエージェントシステムによって実行された」と述べています。

数千の行動を、使い捨てサンドボックスの群れで

攻撃は自律エージェントのフレームワークで運用されていました。エージェント型のセキュリティ研究用ハーネス(AIに調査作業をさせる土台)の上に組まれたものと見られています。ただしどのLLMが使われたかは、いまも不明です。

特徴的なのは動き方でした。数千もの個別アクションを、短命なサンドボックス(使い捨ての隔離環境)の群れで実行していたのです。

さらに指令拠点(C2)は公開サービス上に置かれ、自ら移動していました。1か所を潰しても別の場所へ逃げる構えです。

これは業界が予測してきた「エージェント型攻撃者(agentic attacker)」のシナリオそのものだ、とHugging Faceは指摘します。

8か月前の警告が現実になった

実は前例があります。2025年11月14日、Anthropicが大規模なAI主導のサイバー諜報活動を初めて阻止したと公表しました。中国の国家支援グループとされる「GTG-1002」による攻撃で、約30組織が標的になりました。

驚くのは自律度です。人間が標的と戦略を決めたあと、AIが戦術的作業の80〜90%を独力で実行したと報告されています。そのリクエスト速度は、人間のレッドチームには物理的に不可能な水準でした。

「起きうる」と警告された話が、8か月後には本番環境で現実になった。この速さこそ、今回いちばん重い事実かもしれません。

防御側もAIで対抗|ただし安全ガードが壁になった

1万7000件のログをAIが数時間で読み解いた

侵入を最初に見つけたのもAIでした。異常検知パイプラインがセキュリティのテレメトリ(監視データ)をLLMで振り分け、その相関から侵害が浮かび上がったのです。

問題はその後です。数万に及ぶ自動化された行動は、人間が読み切れる量ではありません。そこでHugging Faceは、1万7000件を超える攻撃者の行動ログ全体に、LLM駆動の解析エージェントを走らせました

結果、タイムラインの再構築、侵害指標(IoC)の抽出、触れられた認証情報の洗い出し、そして本物の被害と「おとり行動」の切り分けまでできたといいます。通常なら数日の作業が、数時間で終わりました。

商用AIが解析を拒否した

ところが、予想外の壁にぶつかります。解析を始めたとき、同社はまず商用APIのフロンティアモデル(最先端の高性能AI)を使おうとしました。しかし、うまくいきませんでした。

この解析には、実際の攻撃コマンド・エクスプロイト・C2の痕跡を大量に送り込む必要があります。そうした内容は、プロバイダの安全ガードレールにブロックされてしまったのです。

AIから見れば、送られてくるのは攻撃コードの山です。それを送ってきたのがインシデント対応者なのか攻撃者本人なのか、ガードレールには区別がつきません。被害の当事者が、自分が受けた攻撃を調べようとして断られる。皮肉な状況です。

オープンウェイトのGLM 5.2で突破した

そこで方針を変えます。オープンウェイトモデル「GLM 5.2」を自社インフラ上で動かして解析しました

GLM 5.2は中国のZhipu AI(現Z.ai)が2026年6月13日に公開したモデルです。約7440億パラメータのMoE構成で、100万トークンのコンテキストを扱えます。しかもMITライセンスで、制限なく自社環境に置けます。

1万7000件のログを丸ごと読ませる用途に、これほど合う選択肢はなかったでしょう。副次的な利点もありました。攻撃者のデータも、そこに含まれる認証情報も、自社環境から一歩も外に出なかったのです。

「非対称性」という重い教訓

Hugging Faceはこの経験を「非対称性の問題(The asymmetry problem)」と名づけました。

攻撃者のモデルが脱獄させたホスト型AIなのか、無制限のオープンウェイトなのかは分かっていません。ただ1つ、はっきりしていることがあります。攻撃者は何の利用規約にも縛られず、防御側の調査だけがガードレールに阻まれたという事実です。

教訓を同社はこう書いています。インシデントが起きる前に、自社インフラで動かせる高性能モデルを検証して準備しておくこと。ガードレールによる締め出しを避け、攻撃者のデータを社外に出さないためです。

なお、これは安全対策への反対ではないと明言しています。この知見は該当プロバイダにもフィードバック済みだそうです。

過去の事例と比べて何が新しいのか

事例時期実行主体特徴
Hugging Face Spaces漏洩2024年5〜6月人間Spacesのsecretsに不正アクセス。トークンを失効し、組織トークン廃止とKMS導入で対応
Anthropic GTG-10022025年11月人間+AI(自律度80〜90%)国家支援グループが約30組織を標的。AIが戦術作業をほぼ自動実行
今回のHugging Face侵入2026年7月AIエージェント(端から端まで)データセット経由で侵入。攻撃も解析も両方AIが担った

2024年の事例で狙われたのはSpacesのsecretsで、攻撃は人間の手によるものでした。2025年のAnthropicの事例ではAIが主役に近づきましたが、人間が標的を選び、要所では判断を下していました。

そして今回。「端から端まで自律型AIエージェントシステムが実行した」という表現から、人間の関与の記述が消えました。もう1つの新しさは、攻撃側も防御側もAIだった点です。AI対AIの応酬が、実際の現場で起きました。

日本のユーザー・企業への影響

まずやるべきこと

Hugging Faceはコミュニティに対し、予防措置としてアクセストークンのローテーション(作り直し)と、アカウントの最近のアクティビティ確認を推奨しています。窓口は security@huggingface.co です。

日本の開発者にも、Hugging Faceのトークンを使う人は大勢います。心当たりがあるなら、今日のうちに作り直すのが安全です。

身近な3つの場面で考える

都内のあるAIスタートアップを想像してみてください。エンジニアが公開データセットを1つ入手し、いつも通り学習パイプラインに流します。そのデータセットにコードが同梱されていたら、何が起きるでしょうか。今回の入り口は、まさにこの日常動作でした。

次に、製造業の社内MLOps担当者です。金曜の夜、自動学習ジョブを仕込んで帰宅し、月曜までの2日半は誰もログを見ません。今回の攻撃者が週末をまたいで横展開できたのは、この空白があったからです。

Hugging Faceが「曜日を問わず、高深刻度のシグナルは数分で担当者を呼び出す」体制に改めたのは、ここへの回答でしょう。

3つ目は、実際に事故が起きた会社の担当者です。深夜、数万行のログを前に座り、AIに解析を頼んで断られる――今回と同じ壁です。日本企業でも、事が起きてから慌てて気づく可能性は十分にあります。

国内のガイドラインも動いている

日本でも制度整備は進んでいます。総務省は2026年3月、「AIのセキュリティ確保のための技術的対策に係るガイドライン」を策定しました。総務省と経済産業省は同年3月31日に「AI事業者ガイドライン(第1.2版)」も公表しています。

さらにIPAの「情報セキュリティ10大脅威 2026」では、プロンプトインジェクションやデータポイズニングが初めて選出されました。

今回の事件は、その「データポイズニング」がプラットフォーム本体を落としうると示した実例です。ガイドラインの文言が、急に生々しく感じられるのではないでしょうか。

よくある質問(FAQ)

Q1. 私が入手したモデルは汚染されていますか?

Hugging Faceは「公開されているモデル・データセット・Spacesが改ざんされた証拠はない」としています。公開パッケージのサプライチェーンもクリーンだと検証済みです。ただし念のため、アクセストークンの作り直しは推奨されています。

Q2. 個人情報は漏れましたか?

不正アクセスが確認されたのは、一部の社内データセットとサービス用の認証情報です。パートナーや顧客データへの影響は、現在も調査中とされています。影響が確認された相手には、同社が直接連絡するとしています。

Q3. なぜ商用AIは解析を助けてくれなかったのですか?

解析には本物の攻撃コマンドやエクスプロイトを大量に送る必要があります。ガードレールから見ると、それは攻撃者の入力と区別がつきません。「調べるため」なのか「攻撃するため」なのかを機械が判定できないため、まとめてブロックされました。AIの不具合ではなく、現在の安全設計の限界です。

Q4. 自社でも同じ攻撃を受ける可能性はありますか?

外部から取得したデータセットやモデルを自動処理している組織なら、経路は共通します。特に信頼できない配布元のコードを実行しうる設定には注意が必要です。transformersを使うなら、CVE-2026-4372が修正されたバージョン5.3.0以降への更新も確認してください。

Q5. 「自社で動かせるAI」の準備は本当に必要ですか?

Hugging Faceの教訓はまさにそこです。理由は2つあります。ガードレールで締め出されないこと、そして攻撃者のデータや認証情報を社外に出さないことです。GLM 5.2のようにMITライセンスのモデルなら、事前に検証して備えておけます。

まとめ

  • 2026年7月16日、Hugging Faceが本番インフラへの侵入を公表しました
  • 侵入口は悪意あるデータセット。リモートコードローダーとテンプレートインジェクションの2経路が悪用されました
  • 攻撃は端から端まで自律型AIエージェントが実行。数千の行動を使い捨てサンドボックスの群れで走らせました
  • 公開モデル・データセット・Spacesへの改ざんの証拠はなし。顧客データへの影響は調査中です
  • 防御側もAIで対抗し、1万7000件超のログを数時間で解析しました
  • ただし商用APIの安全ガードが解析を拒否。オープンウェイトのGLM 5.2を自社環境で動かして突破しました
  • 攻撃者は規約に縛られず、防御側だけがガードレールに縛られる「非対称性」が浮き彫りになりました

まずはHugging Faceのアクセストークンを作り直し、最近のアクティビティに見覚えのない操作がないかを今日中に確認してください。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です