一个冒充OpenAI官方隐私过滤器的欺诈性仓库在Hugging Face上登顶榜首。该恶意代码被下载了24.4万次,直到被发现并删除前都未被察觉。这一事件暴露了盲目信任AI模型交换平台的风险,恶意行为者在此类平台上以合法工具为幌子分发恶意软件。
恶意代码如何利用开放生态系统中的信任 🛡️
该仓库模仿了OpenAI的官方界面和文档,以欺骗开发者。一旦运行,代码可能窃取API令牌、凭证或安装后门。Hugging Face依赖社区审查,但如果没有自动签名验证或静态依赖分析,任何热门仓库都可能成为攻击载体。教训是:在集成第三方代码前,务必验证来源和数字签名。
24.4万次下载之后:那个过滤隐私的过滤器,实际在泄露你的数据 🔍
最终,这个所谓的隐私过滤器变成了敏感信息的筛子。用户们热情地下载了一个承诺保护他们的工具,结果却将自己的数据拱手相送。如果某件事看起来好得令人难以置信,那它很可能是一个文笔不错的木马程序。下次点击前,最好先看看评论。