技術的な説明
HuggingFace Transformers バージョン 5.2.0 では、LightGlue モデルのロード パスが信頼されていない config.json ファイルから trust_remote_code 値を読み込み、ネストされた AutoConfig.from_pretrained() 呼び出しに伝播させます。被害者が AutoModel.from_pretrained() で LightGlue モデルを明示的に trust_remote_code=False を渡してロードする場合、ネストされた呼び出しは被害者の意図をモデル リポジトリの config から攻撃者が制御する値でオーバーライドし、攻撃者が提供した Python モジュールを実行します。API 推論サーバー、研究ノートブック、CI/CD パイプライン、およびモデル評価ワーカーに影響します。
攻撃経路
攻撃者は HuggingFace Hub (または他のアクセス可能なレジストリ) に trust_remote_code=True を設定する config.json を含む悪意のあるモデル リポジトリを公開します。被害者が trust_remote_code=False でモデルをロードすると、ネストされた config オーバーライドはモデル初期化時に攻撃者のコードを実行します — プロンプトまたは推論は不要です。
影響を受けるシステム
HuggingFace Transformers 5.2.0; 信頼されていないリポジトリの LightGlue モデル アーキテクチャで AutoModel.from_pretrained() を使用するワークフロー。
緩和策
パッチされたリリースが利用可能になったら、HuggingFace Transformers を 5.2.0 より新しいバージョンにアップグレードしてください (CVE は 2026-06-03 に公開されました; HuggingFace Transformers GitHub リリース ノートを監視してください)。それまでの間、完全に信頼できるベンダー検証済みリポジトリからのみ LightGlue モデルをロードする、ロード前に予期しない trust_remote_code=True 値についてモデル config.json ファイルをスキャンする、可能な限りサンドボックス環境でモデル ロードを分離してください。