伪造模型借开源之名行恶意加载之实

四月底，OpenAI发布轻量级开源隐私过滤器模型，用于自动识别并屏蔽文本中的个人身份信息。该模型以Apache 2.0许可证部署于Hugging Face平台，迅速引发开发者关注。然而，其开放性也招致不法分子利用。

虚假项目伪装成官方发布，诱导下载

数日内，一个名为“Open-OSS”的伪造账户上线几乎完全复刻的代码库。项目说明文档与原版一字不差，仅新增操作指引：要求Windows用户运行start.bat，或在Linux与Mac系统执行loader.py脚本。

机器人操纵热度，制造虚假信任

该伪造项目在18小时内登上Hugging Face趋势榜首位，累计下载量约24.4万次，点赞达667次。人工智能安全公司HiddenLayer调查发现，其中657个点赞来自具有固定命名模式的自动化账号。

下载量数据亦可能被人为操控。此类行为旨在营造社会认同感，使恶意项目看似可信。其加载脚本会展示虚假训练进度条、合成数据集和模拟类别名称，外观上酷似正常AI加载流程。

后台静默执行，隐蔽渗透系统

脚本启动后，将自动禁用安全检测机制，并从公开的JSON粘贴站点获取加密指令。此设计允许攻击者无需更新代码即可远程变更恶意行为。

指令随后传递至隐藏的PowerShell进程，对Windows用户形成隐形威胁。该过程会连接模仿区块链分析接口的域名，下载第二阶段脚本，进而部署使用Rust编写的定制化信息窃取工具。

深度窃密链路实现全维度数据盗取

最终载荷具备多重功能：提取Chrome与Firefox浏览器中保存的所有敏感信息，包括密码、会话凭证、浏览历史及加密密钥；针对Discord账户、加密货币钱包助记词、SSH密钥和FTP登录凭据实施定向窃取；同时截取屏幕画面。

所有窃取内容经压缩后发送至攻击者控制的服务器。程序还具备环境检测能力，若识别出虚拟机或沙箱环境，将立即静默退出，确保只在真实设备上单次运行并完成任务后自毁。

多项目协同攻击暴露系统性风险

此次事件并非孤立。HiddenLayer在另一账户“anthfu”中发现六个相似代码库，均发布于四月下旬，采用同一恶意加载器并指向相同指令服务器。这些项目伪装为Qwen3、DeepSeek与Bonsai等知名模型，专门诱骗人工智能开发人员。

共用域名api.eth-fastscan.org还托管另一类信标样本，研究人员认为两次活动可能存在关联，但共享基础设施未必代表同一攻击组织。

开发者生态面临新型供应链威胁

这是一起典型的针对人工智能开发者的供应链攻击案例。攻击者未入侵平台或核心机构，仅通过发布高度仿真的假模型，借助机器人刷热，等待开发者主动下载执行。

类似手法曾在2024年袭击Lottie Player JavaScript库，导致某用户损失超70万美元比特币。如您曾在Windows设备上克隆过Open-OSS/privacy-filter项目并运行任何文件，请视该设备为已沦陷，切勿在清理前登录任何账户。

应对措施与安全建议

完成系统彻底清除后，应立即更换所有浏览器存储的登录凭证，包括密码、会话令牌及OAuth授权信息。所有加密资产须尽快转移至由干净设备生成的新钱包，并默认原有助记词已被泄露。

鉴于Discord账户易受波及且支持高自动化操作，建议立即终止所有活跃会话并重置密码。设备内存储的任何SSH密钥或FTP凭证均应视为失效。

目前相关恶意代码库已被下架。Hugging Face尚未公布对热门项目加强审核的具体方案。截至目前，已确认存在七个恶意代码库，尚有未知数量的同类威胁可能仍潜伏于平台之中。