網路安全公司 HiddenLayer 揭露,一款假冒 OpenAI Privacy Filter 的惡意模型在 Hugging Face 上僅 18 小時即衝上熱門榜冠軍,吸引逾 24 萬次下載,背後隱藏六階段 Rust 資訊竊取器,專門鎖定瀏覽器密碼、加密貨幣錢包助記詞與 SSH 金鑰。
(前情提要:WSJ:Google 密會 SpaceX 洽談推進「軌道 AI 資料中心」,馬斯克百萬衛星大軍迎史詩級 IPO)
(背景補充:AI 安全新創 Depthfirst 宣布擊敗 Anthropic 模型 Mythos!揪出 NGINX 潛伏 18 年史詩漏洞、抓漏成本僅 1/10)
OpenAI 四月底推出開源模型 Privacy Filter——一款輕量級、可自動偵測並遮罩文字中個人識別資訊(PII)的模型,並在 Hugging Face 上以 Apache 2.0 授權發布,迅速吸引大量開發者目光。然而,這股熱潮也引來了不速之客。
資安公司 HiddenLayer 揭露,一名為「Open-OSS」的假帳號在 Hugging Face 上發布了幾乎一模一樣的倉庫,名稱同樣叫做 privacy-filter,模型卡片逐字抄襲 OpenAI 官方版本。唯一的差別藏在 readme 檔裡——它引導使用者下載後執行 start.bat(Windows)或 loader.py(Linux/Mac)。
18 小時衝上熱門榜首,近九成按讚來自機器人帳號
這個假倉庫在短短 18 小時內就攻上 Hugging Face 熱門排行榜第一名,累積約 244,000 次下載與 667 個讚。HiddenLayer 追蹤發現,其中 657 個讚來自符合自動化機器人命名模式的帳號——換句話說,超過 98% 的社交訊號是偽造的。下載數也很可能以相同手法灌水,營造出人氣爆棚的假象,誘使真正的開發者上鉤。
六階段攻擊鏈:從假訓練畫面到系統級許可權竊取
這套惡意軟體的設計相當精巧。《loader.py》執行時先展示偽造的模型訓練輸出——進度條、合成資料集、虛擬類別名稱——看起來就像一個真實的 AI 載入器正在執行。但在背景中,它悄悄關閉安全檢測,從公開 JSON 貼文網站拉取一段編碼指令,傳遞給隱藏執行的 PowerShell。
該指令從冒充區塊鏈分析 API 的域名(api.eth-fastscan.org)下載第二支指令碼,再由這支指令碼下載真正的惡意酬載——一款以 Rust 語言編寫的客製資訊竊取器。它自動把自己加入 Windows Defender 排除清單,並以 SYSTEM 許可權透過排程工作啟動,該排程任務執行後立即自我刪除,幾乎不留痕跡。
鎖定 Chrome/Firefox、Discord、加密貨幣錢包
這款資訊竊取器可說是「一個都不放過」。它擷取 Chrome 和 Firefox 中儲存的所有資料——密碼、登入 Session Cookie、瀏覽紀錄、加密金鑰;瞄準 Discord 帳號、加密貨幣錢包助記詞(Seed Phrase)、SSH 金鑰、FTP 憑證;並且會在所有螢幕上截圖。最後將所有資料打包成壓縮 JSON 束,傳送到攻擊者控制的伺服器。
更狡猾的是,這款惡意軟體還會偵測自己是否在虛擬機器或安全沙箱環境中執行,若發現就默默退出。它的設計是一次性攻擊真實目標、偷光一切後消失無蹤。
不是單一事件:至少七個惡意倉庫已被識別
HiddenLayer 指出,這並非孤立事件。他們在同一個指令伺服器下,發現另一個名為「anthfu」的 Hugging Face 帳號上還有六個使用完全相同惡意載入器的倉庫,上傳於四月底,假冒的模型包括 Qwen3、DeepSeek 和 Bonsai,同樣以 AI 開發者為目標。
攻擊者不入侵 OpenAI 或 Hugging Face 本身,而是發布逼真的山寨版、用機器人刷熱門排行,再等開發者自行下載執行。這套劇本在 2024 年的 LottiePlayer JavaScript 函式庫供應鏈攻擊中曾經上演,當時導致一名使用者損失 10 枚比特幣(當時價值逾 70 萬美元)。
該假倉庫目前已被 Hugging Face 下架,但截至發稿,平台方尚未公布任何新的熱門倉庫審查機制。目前已知的惡意倉庫共計七個,還有多少個未被發現或已自行刪除,仍是未知數。
如果你下載了怎麼辦?
資安專家建議,若曾在 Windows 機器上複製 Open-OSS/privacy-filter 並執行其中任何檔案,應將該裝置視為已完全淪陷——在清除前不要從那臺電腦登入任何服務。接著變更瀏覽器中儲存的所有憑證,並在乾淨裝置上生成新錢包、立即轉移加密貨幣資產。Discord 會話需強制失效並重設密碼,SSH 金鑰與 FTP 憑證也應視為外洩處理。
📍相關報導📍
Hugging Face 推出 Reachy Mini App Store,逾 200 款社群開發應用全部免費
美國AI需要「審查」關進實驗室!中國則全力拋開源模型,為什麼?
AI 安全新創 Depthfirst 宣布擊敗 Anthropic 模型 Mythos!揪出 NGINX 潛伏 18 年史詩漏洞
DeepSeek 估值飆上 450 億美元,國家隊領投為中國 AI 加速定價
NVIDIA 推出全新開源多模態大模型「Nemotron 3 Nano Omni」!影音圖文通吃,專攻 Agent 應用
