Un Bot AI ha violato Hugging Face. Hugging Face ha usato l'AI per catturarlo.
La piattaforma di ricerca sull'AI ha divulgato un attacco del mondo reale condotto interamente da software autonomo, e l'incidente ha esposto un punto cieco che ogni azienda che si affida a strumenti di sicurezza basati su AI deve comprendere.

Punti chiave
- Hugging Face, una piattaforma importante per la condivisione di modelli e dataset AI, ha confermato un'intrusione in parte della sua infrastruttura di produzione nel luglio 2026.
- L'attacco è stato condotto da capo a coda da un agente AI autonomo, software che ha pianificato ed eseguito migliaia di passaggi in modo indipendente senza che un umano dirigesse ogni singolo passo.
- Il team di sicurezza di Hugging Face ha utilizzato i suoi stessi strumenti AI per analizzare più di 17.000 azioni registrate dell'attaccante, comprimendo giorni di lavoro forense in poche ore.
- I modelli AI commerciali mainstream hanno bloccato le query forensi dei difensori a causa dei filtri di sicurezza, costringendo il team ad eseguire l'analisi su un modello open source ospitato localmente chiamato GLM 5.2.
- Hugging Face non ha trovato prove che i suoi modelli pubblici, dataset o pacchetti software siano stati manomessi, ma sta ancora verificando se i dati di partner o clienti siano stati esposti.
Qualcosa di discretamente significativo è accaduto in uno dei più grandi hub di AI di Internet lo scorso fine settimana. Hugging Face, la piattaforma dove ricercatori e aziende condividono modelli e dataset AI, ha pubblicato una divulgazione di sicurezza questa settimana confermando di essere stata violata. Non da una persona seduta davanti a una tastiera, ma da un agente AI autonomo, software che ha stabilito i suoi stessi obiettivi, scritto i suoi stessi prossimi passi, e ha continuato per giorni senza intervento umano.
Il punto di ingresso era la pipeline di elaborazione dei dati, il sistema automatizzato che acquisisce i dataset caricati dagli utenti. Il codice dell'attaccante ha sfruttato due debolezze lì, essenzialmente ingannando il sistema per eseguire istruzioni dannose. Da questa base, l'agente ha escalato i propri privilegi di accesso, ha raccolto credenziali di accesso per i servizi cloud, e si è mosso silenziosamente attraverso diversi cluster interni nel corso di un intero fine settimana.
L'azienda stima che siano state eseguite decine di migliaia di azioni automatizzate individuali. Non è un errore di battitura.
Gli utenti di Hugging Face dovrebbero preoccuparsi?
Per la maggior parte degli utenti il rischio immediato è basso, ma la piattaforma chiede a tutti di ruotare i loro token API, le chiavi personali che concedono l'accesso al tuo account Hugging Face, come precauzione. Pensalo come cambiare le serrature dopo che la casa di un vicino è stata derubata: probabilmente non necessario, ma una polizza assicurativa economica. Se hai un account, accedi, genera un nuovo token e revoca quello vecchio. Chiunque creda che i suoi dati siano stati direttamente interessati sarà contattato direttamente da Hugging Face.
Vale la pena soffermarsi sul lavoro forense che ha chiarito l'attacco. Il team di sicurezza ha utilizzato i suoi stessi strumenti di analisi AI per elaborare il registro completo dell'attacco, oltre 17.000 eventi registrati, e ricostruire esattamente ciò che l'agente ha fatto. Ore invece di giorni.
Ma c'era un ostacolo che nessuno aveva previsto.
Quando il team ha inizialmente alimentato i dati grezzi dell'attacco (codice exploit, istruzioni di comando e controllo, frammenti di credenziali rubate) nei modelli AI commerciali frontier tramite le loro API, questi modelli hanno rifiutato di aiutare. I filtri di sicurezza incorporati nei servizi di provider come OpenAI e Anthropic non riescono a distinguere tra un analista forense che studia un attacco e un criminale che ne pianifica uno. Le richieste sono state bloccate.
Il team è passato a GLM 5.2, un modello open-weight, il che significa un modello il cui codice sottostante è pubblicamente disponibile e può essere eseguito sui propri computer. L'esecuzione interna ha mantenuto tutti i dati sensibili dell'attaccante dentro i propri muri. Nessuna credenziale è stata persa verso un cloud di terze parti durante l'indagine sulla violazione.
Hugging Face sta condividendo questo feedback con i provider commerciali i cui guardrail li hanno bloccati, e non sta discutendo che queste misure di sicurezza siano sbagliate. Il consiglio pratico per qualsiasi team di sicurezza: avere un modello AI capace che puoi eseguire privatamente, testato e pronto, prima che un incidente ponga la domanda.
Il quadro generale è scomodo. Un attaccante AI completamente autonomo non è più un esperimento mentale. Funziona alla velocità della macchina, costa poco da gestire, e non ha stanchezza. I difensori ora hanno bisogno di AI che funziona alla stessa velocità dalla loro parte.



