研究人員揭露Hugging Face Transformers高風險RCE漏洞

Hugging Face成立於2016年，是目前全球最大的AI模型分享平臺之一。旗下以Python打造的開源函式庫Transformers為AI模型的通用載入工具，開發者可透過它從Hugging Face Hub取得並載入Meta的Llama、Google的Gemma或Mistral等各種模型，讀取模型設定檔config.json，組裝模型架構並執行文字生成、摘要、翻譯、問答等任務。迄今Transformers在Python套件庫PyPI上的累計下載量已超過22億次，顯示它是AI開發社群廣泛使用的核心工具之一。

研究人員指出，CVE-2026-4372漏洞源自於Transformers載入模型時會先讀取config.json，並將其中欄位寫入內部組態物件。駭客可在config.json中加入名為_attn_implementation_internal的特殊欄位，讓Transformers誤以為需要載入外部Kernel套件，進而從Hugging Face Hub下載並匯入駭客所控制的Python程式碼。

更嚴重的是，整個攻擊過程並不需要使用者手動執行惡意程式，也不會跳出警告。只要使用者透過Transformers載入遭植入惡意設定檔的模型，攻擊者就可能在背景執行任意程式碼，並取得該載入程序所擁有的使用者權限，讀取本機檔案、環境變數、雲端服務憑證、SSH私鑰、Kubernetes設定檔或資料庫連線資訊等。

CVE-2026-4372最受關注之處在於，它繞過了Transformers原本用來限制遠端程式碼執行的trust_remote_code安全機制。研究人員解釋，trust_remote_code限制的是模型自帶程式碼，但該漏洞改走Kernel載入路徑，因而避開了該防線。

CVE-2026-4372影響Transformers 4.56.0至5.2.x版本，且環境中已安裝kernels套件時才可利用。Hugging Face已於2026年3月4日發布Transformers 5.3.0修補漏洞，將非官方Kernel載入也納入trust_remote_code控管。