Платформа Hugging Face сообщила о несанкционированном доступе к своей инфраструктуре, произошедшем в июле 2026 года. Злоумышленники получили доступ к части закрытых ключей и токенов, используемых для управления репозиториями и моделями. Компания оперативно отозвала скомпрометированные учетные данные и усилила протоколы аутентификации, чтобы предотвратить дальнейшие риски для пользователей и размещенных на платформе активов.

Инцидент затронул механизмы управления доступом к пространству имен (Spaces) и некоторые внутренние конфигурации, связанные с хранением секретов. Команда безопасности Hugging Face провела аудит всех активных сессий и принудительно сбросила токены, которые могли быть скомпрометированы в ходе атаки. Пользователям, чьи ключи попали в зону риска, были направлены уведомления с инструкциями по обновлению учетных данных.

Данное событие подчеркивает критическую важность управления секретами в средах разработки ИИ-моделей. Платформа внедрила дополнительные уровни мониторинга активности API и расширила возможности логирования для более быстрого обнаружения аномалий в будущем. Интеграция с внешними системами безопасности была пересмотрена для минимизации «поверхности атаки» при работе с публичными и приватными репозиториями.

Ключевые факты

  • Инцидент произошел в июле 2026 года и был связан с несанкционированным доступом к токенам и ключам.
  • Компания провела принудительный отзыв всех скомпрометированных учетных данных для защиты репозиториев.
  • Усилены протоколы мониторинга API и системы логирования для предотвращения подобных атак в будущем.
  • Пользователи, затронутые инцидентом, получили персональные уведомления с рекомендациями по безопасности.