OpenAI의 공식 개인정보 보호 필터로 위장한 사기성 저장소가 Hugging Face에서 1위를 차지했습니다. 244,000회 다운로드된 이 악성 코드는 발견되어 제거될 때까지 눈에 띄지 않았습니다. 이 사건은 악의적인 행위자가 합법적인 도구로 위장하여 멀웨어를 유포하는 AI 모델 교환 플랫폼을 맹목적으로 신뢰하는 위험을 보여줍니다.
악성 코드가 개방형 생태계의 신뢰를 어떻게 악용하는가 🛡️
이 저장소는 개발자를 속이기 위해 OpenAI의 공식 인터페이스와 문서를 모방했습니다. 실행 시 코드는 API 토큰, 자격 증명을 도용하거나 백도어를 설치할 수 있었습니다. Hugging Face는 커뮤니티 검토에 의존하지만, 서명 자동 확인이나 종속성 정적 분석이 없으면 인기 있는 저장소라도 공격 벡터가 될 수 있습니다. 교훈: 타사 코드를 통합하기 전에 항상 출처와 디지털 서명을 확인하십시오.
244,000회 다운로드 후: 데이터를 걸러내던 필터 🔍
결국, 개인정보 보호 필터로 여겨졌던 것은 민감한 정보를 체로 거르는 도구로 드러났습니다. 사용자들은 자신을 보호하겠다고 약속한 도구를 열정적으로 다운로드했지만, 결과적으로 데이터를 은쟁반에 담아 제공했습니다. 너무 좋아서 사실일 리 없는 것처럼 보인다면, 아마도 글솜씨가 좋은 트로이 목마일 것입니다. 다음 번에는 클릭하기 전에 댓글을 읽는 것이 좋습니다.