Des chercheurs en cybersécurité ont mis en évidence des logiciels malveillants hébergés sur Hugging Face, présentés comme des éléments liés à des publications d’OpenAI. L’enjeu ne se limite pas au contenu « modèle » : l’attention porte sur des composants techniques périphériques, capables de déclencher des charges malveillantes via des scripts ou des logiques de chargement intégrées au projet.

Dans ce type de scénario, les attaquants exploitent la manière dont les équipes intègrent et testent des ressources issues de plateformes de développement. Les menaces tirent ainsi parti d’un environnement généralement considéré comme sécurisé, alors même que ces dépôts contiennent souvent davantage que des fichiers de configuration ou des notebooks.

Des dépôts conçus pour dissimuler une logique d’exécution

Les investigations indiquent que des dépôts supplémentaires, aux comportements similaires, hébergeaient une logique de chargeur quasi identique. Cette réutilisation de techniques et d’infrastructures suggère une orchestration de l’attaque à l’échelle de plusieurs projets, et pas un cas isolé.

Le problème central réside dans la présence de code exécutable ou de mécanismes destinés à être interprétés lors de la configuration, de l’installation ou du démarrage d’un projet. Dans les dépôts concernés, les risques ne proviennent pas forcément du modèle en tant que tel, mais plutôt des éléments « autour » du modèle : scripts, fichiers de dépendances, instructions de mise en place, ou exemples destinés à faciliter le développement.

Pourquoi les outils de sécurité classiques détectent mal ce type de menace

Les analyses soulignent que les approches traditionnelles d’évaluation de la sécurité des dépendances (SCA) sont principalement conçues pour inspecter des manifestes, des bibliothèques ou des images de conteneurs. Or, dans les dépôts d’IA, la logique malveillante peut se loger dans des scripts de chargement ou dans des étapes d’installation, qui ne se résument pas toujours à une simple dépendance logicielle classique.

Autrement dit, l’inspection automatisée peut manquer ce qui relève davantage du « comportement » des projets (comment ils s’exécutent et à quel moment), que de la simple liste des composants utilisés.

Un enjeu de traçabilité pour les systèmes d’IA

Les discussions s’inscrivent aussi dans une dynamique plus large : la montée des systèmes d’IA « agentiques » et la multiplication des artefacts intégrés dans les pipelines de développement. L’idée est de disposer d’une meilleure traçabilité, via une approche de type « bill of materials » (inventaire des composants), afin d’identifier les éléments exacts utilisés, leurs versions, leur origine et leur statut d’approbation.

À terme, un tel inventaire peut aider à réduire l’exposition aux contenus dangereux en permettant de vérifier plus systématiquement ce qui compose les systèmes d’IA — y compris les composants exécutables ou susceptibles de modifier le comportement du déploiement.

Repères pour mieux réduire le risque dans les dépôts d’IA

Sans constituer une garantie à elle seule, la vigilance peut s’appuyer sur des pratiques concrètes :

• Contrôler les scripts et étapes d’installation présents dans les dépôts, pas seulement les fichiers de modèle.
• Mettre en place une validation des artefacts et des versions avant intégration dans un environnement interne.
• Évaluer la sécurité des dépendances et des contenus de développement (notebooks, utilitaires, instructions de configuration) avec des outils adaptés.

Pour soutenir ces vérifications, certaines équipes s’appuient par exemple sur des outils d’analyse statique de code afin d’identifier plus tôt des comportements suspects dans des scripts ou des logiques d’initialisation. Elles utilisent aussi parfois des solutions de scan SCA renforcées pour mieux recouper les dépendances et les fichiers de projet lors des étapes de préparation.

En toile de fond, cette affaire rappelle que les dépôts d’IA ne se limitent pas à des modèles : ils peuvent contenir un ensemble d’éléments logiciels qui, combinés à des processus d’intégration et de déploiement, ouvrent une voie d’entrée aux attaques.