기술 설명
HuggingFace Transformers 버전 5.2.0에서 LightGlue 모델 로드 경로는 신뢰할 수 없는 config.json 파일에서 trust_remote_code 값을 읽고 이를 중첩된 AutoConfig.from_pretrained() 호출로 전파합니다. 피해자가 trust_remote_code=False를 명시적으로 전달하여 AutoModel.from_pretrained()로 LightGlue 모델을 로드할 때, 중첩 호출은 모델 저장소의 config에서 공격자가 제어하는 값으로 피해자의 의도를 무시하고 공격자가 제공한 Python 모듈을 실행합니다. API 추론 서버, 연구 노트북, CI/CD 파이프라인 및 모델 평가 워커에 영향을 미칩니다.
공격 경로
공격자는 trust_remote_code=True를 설정하는 config.json을 포함하는 악성 모델 저장소를 HuggingFace Hub(또는 접근 가능한 모든 레지스트리)에 게시합니다. 피해자가 trust_remote_code=False로 모델을 로드할 때, 중첩 config 무시는 모델 초기화 시점에 공격자의 코드를 실행합니다 — 프롬프트나 추론이 필요하지 않습니다.
영향받는 시스템
HuggingFace Transformers 5.2.0; 신뢰할 수 없는 저장소의 LightGlue 모델 아키텍처와 함께 AutoModel.from_pretrained()를 사용하는 모든 워크플로우.
완화 방안
패치된 릴리스가 제공될 때 HuggingFace Transformers를 5.2.0 이상으로 업그레이드합니다(CVE 2026-06-03에 게시됨; HuggingFace Transformers GitHub 릴리스 노트를 모니터링하세요). 그 동안 완전히 신뢰할 수 있는 공급업체 검증 저장소에서만 LightGlue 모델을 로드합니다; 로드 전에 모델 config.json 파일을 스캔하여 예상치 못한 trust_remote_code=True 값을 확인합니다; 가능한 경우 모델 로드를 샌드박스 환경에서 격리합니다.