Какие файлы сканирует новая система Hugging Face и VirusTotal?

Система сканирует все файлы, загружаемые на Hugging Face Hub: архивы (.zip, .tar.gz), бинарные веса моделей (.bin, .pth, .safetensors), конфигурационные файлы (.json, .yaml) и скрипты загрузки (Python-код).

Проверяются ли уже существующие модели на Hugging Face?

Нет, изначально система проверяет только новые загрузки и обновления моделей. Hugging Face планирует постепенно просканировать весь существующий каталог, но это займет время.

Почему сканирование моделей на малварь так важно?

Модели машинного обучения — это файлы-артефакты, в которые можно встроить вредоносный код, скрипты или ссылки. При скачивании и запуске такой модели пользователь может непреднамеренно установить троян, криптомайнер или бэкдор на свое устройство.

Hugging Face & VirusTotal: новая система сканирования моделей на малварь

Когда загрузка модели превращается в загрузку трояна

Вы качаете новую модель для Stable Diffusion с Hugging Face Hub. Пару гигабайт, пару минут ожидания. Запускаете — и ваш антивирус сходит с ума. Криптомайнер, RAT, что-то еще похуже. Знакомый сценарий? Теперь он должен стать реже.

Hugging Face объявил о партнерстве с VirusTotal. Их новая система автоматического сканирования проверяет каждый файл, загружаемый на платформу. Все 2.2 миллиона моделей. Все датасеты. Каждый .bin, .safetensors, .pkl и .zip.

Технически, интеграция работает через VirusTotal API. Каждый новый или обновленный файл на Hugging Face Hub автоматически отправляется на сканирование. Система использует более 70 антивирусных движков и поведенческий анализ. Если находят угрозу — загрузка блокируется, автор получает предупреждение.

Слепая зона экосистемы ИИ

Безопасность моделей машинного обучения — это то, о чем все говорят, но почти ничего не делают. Проверяют код? Да. Смотрят на данные? Иногда. Сканируют веса моделей на вирусы? Никогда.

А зря. Модель — это не просто математика. Это артефакт. Файл. Который может содержать что угодно.

💡

Пример из практики: в 2023 году исследователи нашли несколько моделей на Hugging Face, которые при запуске скачивали и исполняли скрипты с подозрительных серверов. Это не баг — это фича для доставки полезной нагрузки.

Проблема в том, что традиционные методы защиты бессильны. Сигнатурный анализ? Веса модели — это не исполняемый файл. Эвристика? Модель ведет себя как модель. Пока не начнет вести себя как бэкдор.

Как это работает на самом деле

Система не сканирует «мозги» нейросети. Она проверяет контейнер.

Архивы (.zip, .tar.gz): Распаковываются и проверяются все вложенные файлы. Классический вектор — спрятать малварь в архиве с моделью.
Бинарные веса (.bin, .pth): Проверяются на встроенные шелл-коды или скрытые исполняемые сегменты. Да, в последовательность float32 можно впихнуть инструкции.
Конфигурационные файлы (.json, .yaml): Анализируются на подозрительные URL, команды или скрипты для выполнения.
Скрипты загрузки: Любой Python-код, идущий в комплекте, проходит статический анализ.

Если вспомнить недавний Vigil — инструмент для безопасности LLM, то это следующий логичный шаг. Vigil следит за тем, что делает модель. VirusTotal — за тем, что в нее встроили.

Важный нюанс: система не проверяет уже существующие модели ретроактивно. Только новые загрузки и обновления. Так что ваш любимый репозиторий с 2021 года все еще может таить сюрпризы. Hugging Face обещает постепенно просканировать все, но это займет время.

Почему это важно для всех, а не только для хабов

Потому что проблема цепочек поставок в ML реальна. Вы качаете модель A, которая зависит от датасета B, который загружен через скрипт C. Если в C есть уязвимость — вы под угрозой.

Особенно критично для корпоративных пользователей и тех, кто встраивает модели в продукты. Представьте, что ваш Swift-клиент для Hugging Face скачивает не только веса, но и троян. Или что офлайн-решение типа PaddleOCR в офлайн-режиме использует локальные файлы, которые кто-то когда-то «улучшил».

Это также меняет правила игры для исследователей. Раньше можно было выложить «исследовательскую» модель с сомнительным кодом и сослаться на академическую свободу. Теперь такой трюк может не пройти.

Что это значит для будущего безопасности ИИ

Hugging Face задает тренд. Другие платформы (не будем показывать пальцем) скоро будут вынуждены последовать. Это создает новую реальность:

Стандартизация проверок: Появятся требования к «чистоте» моделей для публикации.
Сертификация: Модели с зеленой галочкой VirusTotal будут цениться выше.
Юридические последствия: Если ваша зараженная модель навредит кому-то, платформа сможет сказать: «Мы проверили, но...»

Но есть и обратная сторона. False positives. Антивирусы иногда срабатывают на легитимный код машинного обучения. Особенно если он использует низкоуровневые оптимизации. Авторам придется доказывать, что их модель — не вирус.

И главный вопрос: что дальше? Сканирование на промпт-инжекшн бэкдоры? Поиск скрытых вредоносных функций в архитектуре нейросети? Возможно.

Пока совет простой: обновите свои рабочие процессы. Добавьте шаг сканирования загружаемых моделей. Если используете huggingface_hub, проверяйте, используете ли вы последнюю версию с улучшенными механизмами безопасности. И никогда, слышите, никогда не запускайте модели из непроверенных источников с правами root. Даже если они обещают генерировать котиков.

Защита от вирусов для нейросетей: Hugging Face и VirusTotal скрестили штыки

Когда загрузка модели превращается в загрузку трояна

Слепая зона экосистемы ИИ

Как это работает на самом деле

Почему это важно для всех, а не только для хабов

Что это значит для будущего безопасности ИИ

Подписывайтесь на наш канал!