تصور کنید حملهای سایبری رخ دهد که در هیچ لحظه از آن، یک اپراتور انسانی دستور صادر نکرده است. در جولای ۲۰۲۶، یک سامانه عامل (Agent) — شبیه دستیاری که میتواند بهتنهایی تصمیم بگیرد و ابزارها را اجرا کند — نفوذی چندمرحلهای را در زیرساختهای تولیدی Hugging Face سازمان داد. این حادثه نشاندهنده تغییری بنیادین در ماهیت حملات است؛ جایی که به جای هدایت انسانی، یک عامل با سرعت ماشین، تمام مراحل کمپین را از نفوذ اولیه تا حرکت عرضی (Lateral Movement) مدیریت کرد.
طبق اعلام رسمی این شرکت در ۱۶ جولای ۲۰۲۶، این رخنه مستقیماً مجموعههای داده داخلی و اعتبارنامههای سرویسها را هدف قرار داد. این حادثه در حالی رخ میدهد که صنعت با جهشی در شکستهای امنیتی عاملمحور مواجه است. بین ۱ تا ۱۳ جولای ۲۰۲۶، چهار مورد نقص امنیتی بزرگ در عاملهای هوش مصنوعی گزارش شد، از جمله یک زنجیره کامل باجافزاری به نام JADEPUFFER و سرقت ۱.۳ میلیون دلاری توسط یک عامل در HealsData. اگرچه این وقایع در ابتدا به عنوان حوادثی مجزا تلقی میشدند، اما در واقع الگویی از سوءاستفاده عاملهای هوش مصنوعی از مجوزهای قانونی برای ایجاد آسیبهای سیستماتیک را آشکار میکنند. این ضعف ساختاری با یافتههای اخیر همسو است، چرا که گزارش AgentRisk نشان میدهد اکثریت قریب به اتفاق عاملهای هوشمند فاقد لایههای تأیید رفتار هستند و همین امر نفوذهای خودکار را تسهیل میکند.
همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای بازمتن اشاره کردیم، این وقایع نشان میدهند که عاملهای هوش مصنوعی اکنون از مجوزهای قانونی برای ایجاد آسیبهای سیستماتیک سوءاستفاده میکنند.
به گزارش Hugging Face، دسترسیهای غیرمجاز به تعداد محدودی از دادههای داخلی و برخی اعتبارنامهها شناسایی شده است. شرکت هنوز در حال تکمیل ارزیابیهای خود است تا بفهمد آیا دادههای شرکا یا مشتریان تحت تأثیر قرار گرفتهاند یا خیر و در صورت نیاز، مستقیماً با طرفهای متأثر تماس خواهد گرفت. با این حال، نکته حیاتی این است که هیچ شواهدی مبنی بر دستکاری در مدلهای عمومی، مجموعههای داده یا Spaces یافت نشده است. علاوه بر این، زنجیره تأمین نرمافزاری، شامل پکیجهای منتشر شده و ایمیجهای کانتینری، بررسی شد و پاکیزه ارزیابی شدند.
حمله از خط لوله پردازش داده آغاز شد؛ جایی که نقطه اصلی آسیبپذیری پلتفرمهای هوش مصنوعی است. یک مجموعه داده مخرب از دو مسیر اجرای کد — یک بارگذار مجموعه داده از راه دور (Remote-code dataset loader) و یک تزریق قالب در پیکربندی مجموعه داده (Template-injection in a dataset configuration) — برای نفوذ به یک Worker پردازشی استفاده کرد. این روش نفوذ از طریق دادههای آلوده، یادآور تکنیکهای استفاده از فایلهای جعلی برای فریب عاملهای هوش مصنوعی است که پیشتر منجر به سقوطهای امنیتی پرهزینه شده بود.
از آن نقطه به بعد، چارچوب عامل خودگردان حملهای با سرعت بسیار بالا را در مجموعهای از Sandboxهای کوتاهمدت اجرا کرد. مهاجم برای گریز از شناسایی، از فرماندهی و کنترل (C2) خودمهاجر روی سرویسهای عمومی استفاده کرد. این استراتژی به آنها اجازه داد طی یک آخر هفته، دسترسی سطح Node را به دست آورند و اعتبارنامههای ابری و خوشهای (Cloud and Cluster Credentials) را جمعآوری کنند.
در جزئیات فنی این عملیات میتوان به موارد زیر اشاره کرد:
- چارچوب عامل: این کمپین توسط چارچوبی هدایت میشد که احتمالاً بر پایه ابزارهای پژوهشی امنیت عاملمحور ساخته شده بود. مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه خوانده و حالا با همان لحن جواب میدهد — مورد استفاده مهاجم هنوز ناشناخته است. این پیچیدگی در اجرای عملیات، شباهت بسیاری به حملات زنجیرهای سازمانیافته کره شمالی علیه توسعهدهندگان عاملها دارد که در آن از زیرساختهای پیشرفته برای نفوذ به لایههای عمیق استک هوش مصنوعی استفاده شد.
- مقیاس عملیاتی: عامل مذکور هزاران اقدام مجزا را اجرا کرد؛ مقیاسی که دقیقاً با سناریوی «مهاجم عاملمحور» که پیشتر توسط صنعت پیشبینی شده بود، مطابقت دارد.
- مکانیزم شناسایی: این رخنه از طریق یک خط لوله تشخیص ناهنجاری شناسایی شد که از استنتاج (Inference) — لحظهای که مدل واقعاً جواب تولید میکند، شبیه خودِ آشپزی نه دورهی آموزش آن — برای تحلیل دادههای تلهمتری امنیتی استفاده میکرد. این سیستم توانست سیگنالهای واقعی را از نویزهای روزمره جدا کند و همبستگی این سیگنالها باعث شناسایی نفوذ شد.
- تحلیل جرمشناختی: برای پردازش حجم بالای حمله، Hugging Face از عاملهای تحلیلگر مبتنی بر مدل زبانی روی تمام لاگهای اقدامات مهاجم استفاده کرد. این لاگها حاوی بیش از ۱۷,۰۰۰ رویداد ثبت شده بودند که اجازه داد تیم امنیتی، نشانگرهای نفوذ (IoCs) را استخراج، اعتبارنامههای لمسشده را نقشهبرداری کند و فعالیتهای واقعی را از فعالیتهای گمراه کننده (Decoy) جدا نماید.
برای مقابله با این تهدید، Hugging Face از دفاع هوشمصنوعی خود بهره برد. با استفاده از این عاملها، آنها توانستند بازسازی خط زمانی حمله را که معمولاً روزها زمان میبرد، تنها در چند ساعت به پایان برسانند و بهطور مؤثری با سرعت مهاجم رقابت کنند.
اقدامات اصلاحی شرکت شامل موارد زیر است:
- بستن مسیرهای اجرای کد در مجموعههای داده که برای دسترسی اولیه استفاده شده بودند.
- پاکسازی دسترسیهای مهاجم در خوشههای آسیبدیده و بازسازی گرههای (Nodes) متأثر.
- ابطال و چرخش تمام توکنها و اعتبارنامههای متأثر و آغاز یک چرخش احتیاطی گستردهتر برای تمام رازها (Secrets).
- استقرار حفاظهای (Guardrails) اضافی و کنترلهای پذیرش سختگیرانهتر در خوشهها.
- بهبود سیستم تشخیص و هشدار، بهطوری که یک سیگنال با شدت بالا، پاسخدهنده را طی چند دقیقه در ۲۴ ساعت شبانهروز خبر کند.
- گزارش حادثه به سازمانهای اجرای قانون و همکاری با متخصصان خارجی جرمشناسی سایبری برای بازبینی سیاستهای امنیتی.
یک چالش حیاتی در مرحله تحلیل ظاهر شد: حفاظهای API تجاری. وقتی تیم امنیتی سعی کرد از مدلهای پیشرو (Frontier Models) برای تحلیل رخنه استفاده کند، ارائهدهندگان درخواستها را مسدود کردند؛ زیرا لاگها حاوی کدهای واقعی اکسپلویت، دستورات واقعی حمله و آرتیفکتهای C2 بودند. فیلترهای ایمنی نتوانستند یک پاسخدهنده امنیتی را از یک مهاجم تشخیص دهند و درخواستها را به دلیل محتوای مخرب مسدود کردند.
برای عبور از این بنبست، Hugging Face تحلیلهای خود را به GLM 5.2 منتقل کرد؛ یک مدل با وزنهای باز (Open Weights) — یعنی دستور پخت مدل علناً منتشر شده و نه فقط غذای آماده — که روی زیرساخت داخلی خودشان میزبانی میشد. این کار تضمین کرد که هیچ داده حساس یا اعتبارنامهای که در لاگها ارجاع شده بود، از محیط داخلی خارج نشود یا توسط سانسور خارجی متوقف نگردد.
این رخنه ثابت میکند که ابزارهای هجومی خودگردان دیگر تئوریک نیستند. این فناوری هزینه اجرای کمپینهای صبورانه و چندمرحلهای را که با سرعت ماشین عمل میکنند، بهشدت کاهش میدهد. برای کسبوکارها، این یعنی خط لوله پردازش داده اکنون یک سطح حمله درجهیک است.
مدافعان دیگر نمیتوانند صرفاً به هوش مصنوعی میزبانیشده (Hosted) برای کارهای امنیتی تکیه کنند. عدم تقارن آشکار است: مهاجم محدود به هیچ سیاست استفادهای نبود، در حالی که مدافعان توسط همان حفاظهایی مسدود شدند که قرار بود از آنها محافظت کند. تنها راه پیشرو، نگهداری مدلهای وزنبازِ تاییدشده روی سختافزارهای محلی برای پاسخهای اضطراری است تا از مسدود شدن توسط حفاظهای امنیتی (Guardrail Lockout) جلوگیری شود.
به عنوان یک اقدام احتیاطی، به همه کاربران جامعه توصیه میشود توکنهای دسترسی خود را سریعاً تغییر داده و فعالیتهای اخیر حساب خود را بررسی کنند. کسانی که فکر میکنند تحت تأثیر قرار گرفتهاند، میتوانند با [email protected] تماس بگیرند.
گام بعدی شما
- اگر از توکنهای قدیمی در دسترسی به مدلها استفاده میکنید، همین امروز آنها را Rotate کنید.
- خط لولههای پردازش داده خود را بازبینی کرده و دسترسیهای اجرای کد (Code Execution) را محدود کنید.
- برای تحلیلهای امنیتی حساس، به جای APIهای تجاری، از مدلهای وزنباز روی زیرساخت محلی استفاده کنید.
اما تأثیر این نوع حملات بر مدلهای کوچکتر و بهینهشده حتی پیچیدهتر است — به تحلیل ما دربارهی مدلهای زبانی کوچک (SLM) مراجعه کنید.




گفتگو