技术说明
在HuggingFace Transformers版本5.2.0中,LightGlue模型加载路径从不受信任的config.json文件读取trust_remote_code值,并将其传播到嵌套的AutoConfig.from_pretrained()调用中。当受害者使用明确传递trust_remote_code=False的AutoModel.from_pretrained()加载LightGlue模型时,嵌套调用使用模型存储库config中的攻击者控制值覆盖受害者的意图,执行攻击者提供的Python模块。影响API推理服务器、研究笔记本、CI/CD管道和模型评估工作者。
攻击途径
攻击者在HuggingFace Hub(或任何可访问的注册表)上发布包含设置trust_remote_code=True的config.json的恶意模型存储库。当受害者使用trust_remote_code=False加载模型时,嵌套配置覆盖在模型初始化时执行攻击者的代码 — 不需要提示或推理。
受影响系统
HuggingFace Transformers 5.2.0;任何从不受信任存储库使用AutoModel.from_pretrained()与LightGlue模型架构的工作流程。
缓解措施
在补丁版本可用后升级HuggingFace Transformers超过5.2.0版本(CVE发布于2026-06-03;监控HuggingFace Transformers GitHub发布说明)。同时,仅从完全受信任、供应商验证的存储库加载LightGlue模型;在加载前扫描模型config.json文件中的意外trust_remote_code=True值;尽可能在沙盒环境中隔离模型加载。