Penjelasan teknis
Dalam HuggingFace Transformers versi 5.2.0, jalur pemuatan model LightGlue membaca nilai trust_remote_code dari file config.json yang tidak terpercaya dan menyebarkannya ke dalam panggilan AutoConfig.from_pretrained() bersarang. Ketika korban memuat model LightGlue dengan AutoModel.from_pretrained() yang secara eksplisit melewatkan trust_remote_code=False, panggilan bersarang menimpa niat korban dengan nilai yang dikendalikan penyerang dari config repositori model, mengeksekusi modul Python yang disediakan penyerang. Mempengaruhi server inferensi API, notebook penelitian, pipeline CI/CD, dan pekerja evaluasi model.
Vektor serangan
Penyerang menerbitkan repositori model berbahaya di HuggingFace Hub (atau registri apa pun yang dapat diakses) yang berisi config.json yang menetapkan trust_remote_code=True. Ketika korban memuat model dengan trust_remote_code=False, penggantian config bersarang mengeksekusi kode penyerang pada waktu inisialisasi model — tidak ada prompt atau inferensi yang diperlukan.
Sistem yang terdampak
HuggingFace Transformers 5.2.0; alur kerja apa pun yang menggunakan AutoModel.from_pretrained() dengan arsitektur model LightGlue dari repositori yang tidak terpercaya.
Mitigasi
Tingkatkan HuggingFace Transformers melampaui 5.2.0 setelah rilis yang diperbaiki tersedia (CVE dipublikasikan 2026-06-03; pantau catatan rilis HuggingFace Transformers GitHub). Sementara itu, muat model LightGlue hanya dari repositori yang sepenuhnya terpercaya dan terverifikasi vendor; pindai file config.json model sebelum memuat untuk nilai trust_remote_code=True yang tidak terduga; isolasi pemuatan model dalam lingkungan sandbox jika memungkinkan.