概要
HuggingFace transformers ライブラリの全バージョン(v5.3.0 未満)に、リモートコード実行(RCE)脆弱性が存在します。
通常、HuggingFace のモデルロード時に trust_remote_code=True を設定しない限りリモートコードは実行されないとされていますが、本脆弱性は trust_remote_code=False(デフォルト)を設定していても回避可能 であるという点で特に深刻です。
攻撃者が細工した config.json ファイルの _attn_implementation_internal フィールドに攻撃者制御の HuggingFace Hub リポジトリ ID を設定したモデルを公開した場合、被害者が標準的な AutoModelForCausalLM.from_pretrained() API でそのモデルをロードするだけで、攻撃者のリポジトリから任意の Python コードが被害者の OS 権限でダウンロード・実行されます。
trust_remote_codeセキュリティ機能のバイパス- 設定属性の不適切なデシリアライゼーション(CWE-502)
- 外部リポジトリからのカーネル実行がサンドボックスなしに行われる
- 通常の公式ドキュメントどおりの使用パターンで悪用可能
注: 本 CVE の CVSS スコアは NVD による評価作業中であり、現時点では未割り当て(0.0)です。公開概要では「Critical」と記述されており、影響範囲の広さから早急な対応が推奨されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS バージョン | 評価中(NVD) |
| 攻撃経路(AV) | ネットワーク(モデルロード経由) |
| 攻撃の複雑さ | 低(標準API呼び出しで成立) |
| 必要な権限 | 不要 |
| ユーザーインタラクション | あり(モデルロード操作) |
| スコープ | 変更なし |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| transformers | HuggingFace | < 5.3.0(全バージョン) |
修正バージョンと回避策
修正バージョン: transformers 5.3.0 以降
pip install --upgrade transformers
回避策:
- 信頼できないソース・非公式リポジトリからのモデルロードを避ける
- HuggingFace Hub の公式モデルでもモデル提供者を確認する
- 本番環境でのモデルロードをネットワーク制限された環境(オフライン)で行う
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。