30秒で判断
対応すべき人:
huggingface/transformersバージョン 5.2.0 を使用しているAutoModel.from_pretrained()を使ってLightGlueモデルを読み込んでいる- 外部(信頼されていない)モデルリポジトリからモデルを読み込む環境がある
対応不要な人:
- 上記修正コミット以降のバージョンを使用している
- LightGlueモデルを使用していない、または自社管理の信頼できるモデルのみを使用している
- モデルロードに
transformersを使用していない
確認コマンド:
pip show transformers | grep Version
概要
HuggingFace Transformers 5.2.0 のLightGlueモデル読み込みパスに存在する脆弱性です。
本来、AutoModel.from_pretrained() に trust_remote_code=False を渡すことで、リモートリポジトリ上のカスタムPythonコードの実行を防ぐことができます。しかし、LightGlueモデルの読み込みでは LightGlueConfig クラスがリモートの config.json から trust_remote_code の値を読み取り、ネストされた AutoConfig.from_pretrained() 呼び出しに上書きして渡してしまいます。
つまり、攻撃者が制御するモデルリポジトリの config.json に "trust_remote_code": true と記述しておくことで、被害者が trust_remote_code=False を明示的に指定していても、攻撃者のPythonコードが実行されます。
リスクが特に高い環境: APIサーバー(外部ユーザーがモデルを指定できる)、リサーチノートブック、CI/CDパイプライン、モデル評価ワーカー。これらでは認証情報の窃取、ラテラルムーブメント、バックドア設置等の被害につながる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.6(Critical) |
| CWE | CWE-829(信頼できない制御領域からの機能の組み込み) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃条件の複雑さ (AC) | 低 (L) |
| 必要な特権 (PR) | なし (N)(外部リポジトリ利用可能なら) |
| ユーザーの関与 (UI) | 要 (R)(ユーザーがモデルをロードする必要あり) |
| スコープ (S) | 変更 (C) |
影響を受けるソフトウェア
| 製品 | 影響バージョン |
|---|---|
| huggingface/transformers | 5.2.0 |
修正バージョンと回避策
修正: GitHub コミット 676559d にて修正済み。最新バージョンへのアップグレードを推奨します。
pip install --upgrade transformers
回避策(アップグレードが困難な場合):
- 外部モデルリポジトリからのロードを禁止し、社内管理のモデルのみを使用する
trust_remote_code=Falseの指定を継続しつつ、LightGlueモデルの使用を避ける- 利用するモデルリポジトリのソースコードを手動でレビューする
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
