Ataques em cadeia envolvendo dois vetores: o supply chain é atingido com o Mistral e um modelo OpenAI falso também é comprometido

AI 開發者工具生态在 5 月 12 日同日传出两起重大供应链攻击：（1）Microsoft Threat Intelligence 揭露 Mistral AI 的 PyPI 套件被植入恶意代码；（2）一个假冒 OpenAI 的 Hugging Face 模型项目冲上热门榜第 1，18 小时内吸引 24,4 万次下载并窃取大量账号密码。根据 Decrypt 报导，两起事件都暴露 AI 开发者生态对供应链渗透的脆弱性。

Table of Contents

Toggle

Mistral AI 套件案：偽装 Hugging Face Transformers 名称的二阶段攻击

假 OpenAI Hugging Face 案：6 阶段 Rust 写的 infostealer

产业意义：AI 供应链成为新的攻击面

Mistral AI 套件案：偽装 Hugging Face Transformers 名称的二阶段攻击

Mistral AI 的 PyPI 套件（Python 套件管理器）遭植入恶意代码，由 Microsoft Threat Intelligence 于 5 月 12 日在 X 公开揭露：

受影响范围：mistralai PyPI 套件 v2.4.6

触发方式：Linux 系统导入套件时自动执行

第二阶段 payload：从远端服务器下载 transformers.pyz、在后台执行

命名陷阱：transformers.pyz 刻意模仿 Hugging Face 流行的 Transformers 函式库名称

实际功能：窃取开发者登录凭证、access token；部分系统触发随机删除位于以色列或伊朗 IP 范围内的文件

Mistral 5 月 13 日确认此供应链攻击，但强调「Mistral 基础设施未被入侵，攻击起源于一个受影响的开发者装置」。攻击归入广义的 Shai-Hulud 恶意软件系列（自 2025 年 9 月开始活跃，针对 npm 与 PyPI 开源套件供应链）。

假 OpenAI Hugging Face 案：6 阶段 Rust 写的 infostealer

同期，AI 模型平台 Hugging Face 出现名为「Open-OSS/privacy-filter」的偽冒模型项目，刻意模仿 OpenAI 4 月公开的 Privacy Filter 模型：

累积下载：18 小时内 24,4 万次

累积点赞：667 个（其中 657 个疑似机器人账号刷出）

热门排名：曾冲上 Hugging Face 趋势榜第 1

触发指令：建议使用者执行 _start.bat（Windows）或 loader.py（Linux／Mac）

实际行为：6 阶段 Rust 写的 infostealer、窃取以下资料：

—Chrome／Firefox 浏览器密码与 Cookie

—Discord token

—加密货币钱包助记词

—SSH 与 FTP 凭证

—所有萤幕的截图

该模型项目由 AI 安全公司 HiddenLayer 揭发，Hugging Face 已下架。同期 HiddenLayer 还识别出 7 个类似的恶意模型项目，部分模仿 Qwen3、DeepSeek 等其他热门 AI 模型。

产业意义：AI 供应链成为新的攻击面

链新闻观察：本週同时揭发的 3 起 AI 相关供应链事件—Mistral PyPI、假 OpenAI HuggingFace、以及 Google 5/11 揭露的 AI 制造零日漏洞案—揭示 AI 开发者生态已成为黑客的优先攻击面。

三个案件的共同模式：

攻击者偽装为合法 AI 工具供应商（PyPI 套件、HuggingFace 模型、AI 制造漏洞利用程式）

目标是「Web3 与 AI 开发者」这一群拥有高权限 token、加密货币钱包、云端账号的群体

洗钱／窃取路径迅速—Hugging Face 案 18 小时 24,4 万次下载，显示影响范围快速扩大

大型平台（PyPI、HuggingFace）的审查机制不足以即时报别假冒项目

对加密货币与 Web3 开发者而言，这些事件强化了 CertiK 同週公布的「2025 北韩黑客盗走 20,6 亿美元」报告中提到的「社交工程 + 6 个月潜伏」威胁—2026 年的攻击者已不需要直接入侵交易所，只要污染开发者使用的开源套件，就能间接取得对应的密钥与资金。

个人开发者的实务防御动作：套件安装前验证签名与发行方、使用独立的虚拟机跑刚下载的 AI 模型、定期轮替交易所 API 密钥、加密货币钱包助记词不储存在联网装置上。团队层级则需要建立「SBOM（软件物料清单）」与供应链签署流程。

后续可追蹤的事件包括：Mistral 的内部装置入侵调查结果、Hugging Face 是否导入更严格的趋势榜审查机制，以及 7 个 HiddenLayer 揭发的其他恶意模型项目（包含 Qwen3、DeepSeek 偽冒版本）的后续资料。

这篇文章 AI 套件供应链双起攻击：Mistral 与假 OpenAI 模型同遭渗透 最早出现于 链新闻 ABMedia。