허깅페이스 보안 침해 공개 — 악성 데이터셋이 코드 실행 경로 악용
공개 모델·패키지는 이상 없으나 데이터셋 로더·템플릿 주입 경로가 침투구. RCE 데이터셋 처리 파이프라인 점검 필수.
요약
Hugging Face는 2026년 7월, 내부 데이터셋과 서비스 자격 증명에 대한 무단 액세스 사고를 확인했다고 발표했습니다. 이번 침입은 데이터 처리 파이프라인에서 악성 데이터셋이 코드 실행 경로를 악용하며 시작되었고, 이후 공격자가 노드 수준 권한을 획득하여 내부 클러스터로 측면 이동했습니다. 다만, 대중에게 공개된 모델, 데이터셋, Spaces의 변조나 소프트웨어 공급망 오염 증거는 발견되지 않았습니다. 이번 공격은 LLM 기반의 자율 에이전트 프레임워크가 수천 개의 샌드박스를 활용해 수행한 것으로, 업계에서 예측하던 '에이전트 공격자' 시나리오와 일치합니다. 현재 외부 보안 전문가와 함께 조사를 진행 중이며 피해 사실이 확인되는 고객 및 파트너에게는 개별적으로 연락할 예정입니다. Hugging Face는 이번 사태를 수사 기관에 신고하고 보안 정책 전반을 재검토하고 있습니다.
AI가 원문을 요약한 내용으로, 부정확할 수 있습니다.
원문 제목 Security incident disclosure — July 2026
원문 보기 ↗