Платформа Hugging Face сообщила о несанкционированном доступе к своей инфраструктуре, произошедшем в июле 2026 года. Злоумышленники получили доступ к части закрытых ключей и токенов, используемых для управления репозиториями и моделями. Компания оперативно отозвала скомпрометированные учетные данные и усилила протоколы аутентификации, чтобы предотвратить дальнейшие риски для пользователей и размещенных на платформе активов.
Инцидент затронул механизмы управления доступом к пространству имен (Spaces) и некоторые внутренние конфигурации, связанные с хранением секретов. Команда безопасности Hugging Face провела аудит всех активных сессий и принудительно сбросила токены, которые могли быть скомпрометированы в ходе атаки. Пользователям, чьи ключи попали в зону риска, были направлены уведомления с инструкциями по обновлению учетных данных.
Данное событие подчеркивает критическую важность управления секретами в средах разработки ИИ-моделей. Платформа внедрила дополнительные уровни мониторинга активности API и расширила возможности логирования для более быстрого обнаружения аномалий в будущем. Интеграция с внешними системами безопасности была пересмотрена для минимизации «поверхности атаки» при работе с публичными и приватными репозиториями.
Ключевые факты
- Инцидент произошел в июле 2026 года и был связан с несанкционированным доступом к токенам и ключам.
- Компания провела принудительный отзыв всех скомпрометированных учетных данных для защиты репозиториев.
- Усилены протоколы мониторинга API и системы логирования для предотвращения подобных атак в будущем.
- Пользователи, затронутые инцидентом, получили персональные уведомления с рекомендациями по безопасности.