Hugging-Face
15 SAKER INDEKSERT
Falsk OpenAI-repo på Hugging Face fikk 244 000 nedlastinger på 18 timer
HiddenLayer avdekket 7. mai et ondsinnet Hugging Face-repo som typosquattet OpenAIs Privacy Filter-utgivelse. Repoet samlet 244 000 nedlastinger og 667 likes på under 18 timer før det ble fjernet, og leverte en Rust-basert infostealer som stjeler nettleser-cookies, krypto-lommebøker og Discord-tokens.
Én linje i tokenizer.json kan kapre KI-modeller hentet fra Hugging Face
HiddenLayer demonstrerer at endring av én streng i tokenizer.json er nok til å omdirigere URLer, bytte shell-kommandoer og snike inn ekstra tool-calls i KI-modeller fra Hugging Face.
HiDream O1-Image: open-source bildemodell som resonnerer for den tegner
HiDream slipper O1-Image, en 8 milliarder parameteres open-source bildemodell som jobber rett i pikselrom og bruker en resonnerende prompt-agent før den genererer.
Falsk OpenAI-repo nådde topp på Hugging Face: 244 000 nedlastinger leverte infostealer
Hugging Face-toppen er et populært beitemark for typosquattere, og denne uka klatret Open-OSS/privacy-filter helt opp før den ble fjernet. HiddenLayer-forskere fanget repoen etter 244 000 nedlastinger. Den kopierte modellkortet ord-for-ord fra OpenAIs Privacy Filter-prosjekt og leverte en loader.py som dekodet base64-URL og kjørte sefirah, en Rust-basert infostealer som tok Chromium- og Gecko-cookies, Discord-tokens, krypto-lommebøker, SSH/FTP/VPN-kreds og lokale filer. Skadevaren la seg på Defenders eksklusjonsliste og sjekket for VM, sandkasse og analyse-verktøy før den eksfiltrerte til recargapopular[.]com.
Acronis: 575 ondsinnede skills på Hugging Face og ClawHub leverer trojanere og kryptominere
Acronis Threat Research Unit har kartlagt 575 ondsinnede OpenClaw-skills fordelt på 13 kontoer som leverer trojanere, AMOS Stealer og kryptominere via Hugging Face og ClawHub.
IBM slipper Granite Embedding 311M R2 med 32K kontekst og 11,8 poeng MTEB-løft
IBM lanserte 29. april en oppdatert flerspråklig embedding-modell med 311M parametre, 32 768 tokens kontekst og 64,0 på Multilingual MTEB Retrieval. Modellen støtter 200+ språk og er Apache 2.0-lisensiert med ONNX og OpenVINO-bygg.
Transformers v5.8.0 lander med innebygd DeepSeek-V4 og Gemma 4 Assistant for spekulativ dekoding
Hugging Face Transformers v5.8.0 ruller ut native støtte for DeepSeek-V4-familien og Gemma 4 Assistant, en MTP-drafter som lar deg kjøre spekulativ dekoding mot Gemma 4 ut av boksen.
Featherless.ai henter 20 millioner dollar for å bygge nøytral sky for open-source KI-inferens
Cisco åpner Model Provenance Kit: open-source verktøy som tar «DNA-test» av KI-modeller fra Hugging Face
Cisco lanserte Model Provenance Kit som open-source 1. mai 2026, et verktøy som sammenligner metadata og lærte parametere for å avgjøre om to KI-modeller deler opphav eller har blitt modifisert.
Acronis fant 575+ ondsinnede OpenClaw-skills på ClawHub som angriper både Windows og macOS
Acronis Threat Research Unit avdekket 575+ ondsinnede OpenClaw-skills fordelt på 13 utviklerkontoer som leverer trojanere, kryptomalware og AMOS-stealer via indirekte prompt-injeksjon.
IBM Granite Speech 4.1: åpne 2B-modeller for ASR og oversettelse på Apache 2.0
IBM slipper Granite Speech 4.1 2B og 2B-NAR på Hugging Face under Apache 2.0, med ASR og oversettelse for seks språk og en non-autoregressive variant som lander RTFx 1820 på én H100.
CVE-2026-25874: kritisk RCE i Hugging Face LeRobot uten autentisering
Hugging Face LeRobot, robotikkrammeverket med 21 500+ GitHub-stjerner, har en CVSS 9.8-sårbarhet der pickle.loads() i gRPC-tjeneren PolicyServer lar uautentiserte angripere kjøre vilkårlig kode.
Hugging Face sin ml-intern løfter Qwen3-1.7B fra 10 til 32 prosent på GPQA — slår Claude Code på samme test
Hugging Face slapp ml-intern, en åpen KI-agent som på under 10 timer økte Qwen3-1.7B sin GPQA-score fra ca. 10 til 32 prosent på én H100, og slo Claude Codes 22,99 prosent på samme benchmark.
Marimo-sårbarhet utnyttes til å droppe malware fra Hugging Face
Angripere utnytter CVE-2026-39987 i Marimo for å distribuere NKAbuse-malware typosquattet som VS Code på Hugging Face Spaces. Oppgrader Marimo til 0.23.0 eller blokker /terminal/ws.