Hugging Face hlásí útok řízený autonomním AI agentem. Obránci proti němu nasadili vlastní AI
Kybernetický útok vedený rychlostí stroje proti obraně využívající stejnou technologii. Bezpečnostní incident v Hugging Face ukazuje, jak mohou autonomní AI agenti změnit podobu útoků – ale také odhaluje nečekané limity, na které mohou narazit bezpečnostní týmy při nasazení komerčních AI modelů.

Společnost Hugging Face zveřejnila podrobnosti o bezpečnostním incidentu, při kterém útočník pronikl do části její produkční infrastruktury. Podle interní analýzy firmy byla útočná kampaň řízena autonomním AI agentním systémem, který provedl tisíce jednotlivých akcí, získal přístup k přihlašovacím údajům a pohyboval se mezi interními clustery. Hugging Face následně využil vlastní AI nástroje k rekonstrukci útoku. Při vyšetřování ale narazil na nečekaný problém: bezpečnostní mechanismy některých komerčních AI služeb blokovaly analýzu skutečných útočných příkazů a exploit payloadů.
Incident Hugging Face zveřejnil 16. července 2026. Podle společnosti byl útok odhalen na začátku týdne a zasáhl část produkční infrastruktury.
Útočník získal neoprávněný přístup k omezenému množství interních datasetů a k několika přihlašovacím údajům používaným službami společnosti. V době zveřejnění incidentu Hugging Face stále prověřoval, zda mohla být zasažena také data některých zákazníků nebo partnerů.
Firma současně uvedla, že nenašla důkazy o manipulaci s veřejně dostupnými modely, datasety nebo službou Spaces. Kontrola podle společnosti neodhalila kompromitaci ani v rámci softwarového dodavatelského řetězce – kontejnerové obrazy a publikované balíčky byly podle Hugging Face ověřeny jako čisté.
Útok začal škodlivým datasetem
Prvotním bodem kompromitace byla část infrastruktury určená ke zpracování datasetů – tedy oblast, která představuje pro platformy zaměřené na umělou inteligenci specifický typ útočné plochy.
Podle Hugging Face škodlivě připravený dataset zneužil dvě cesty umožňující spuštění kódu při jeho zpracování. Jedna souvisela se vzdáleným načítáním datasetu (remote-code dataset loader), druhá s template injection v konfiguraci datasetu.
Výsledkem bylo spuštění kódu na jednom z processing workerů.
Útočník následně získal přístup na úrovni nodu, získal cloudové a clusterové přihlašovací údaje a během víkendu se laterálně přesunul do několika interních clusterů.
Právě způsob, jakým další fáze útoku probíhaly, je na celém incidentu nejzajímavější.
Tisíce akcí řízených autonomním agentem
Hugging Face tvrdí, že kampaň nebyla vedena pouze klasickým ručním postupem útočníka. Podle analýzy společnosti ji řídil autonomní agentní systém, který podle dostupných stop zřejmě využíval nástroje určené pro agentní bezpečnostní výzkum.
Systém provedl mnoho tisíc jednotlivých akcí prostřednictvím velkého množství krátkodobě existujících sandboxů. Command-and-control infrastruktura se podle Hugging Face dokázala přesouvat a využívala veřejně dostupné služby.
Konkrétní jazykový model, který měl útočný systém pohánět, společnost neidentifikovala. Není tedy známo, zda šlo například o upravený open-weight model, jailbreaknutý komerční model nebo jinou konfiguraci.
Tvrzení o autonomním charakteru kampaně zatím vychází především z analýzy samotného Hugging Face. Společnost nezveřejnila kompletní forenzní zprávu ani dostatek technických artefaktů, které by umožnily celý závěr nezávisle ověřit.
Incident přesto ukazuje scénář, o kterém bezpečnostní komunita diskutuje již delší dobu: AI agent nemusí pouze generovat phishingové e-maily nebo pomáhat psát malware. Může koordinovat dlouhou sekvenci útočných kroků, reagovat na prostředí a provádět velké množství operací rychlostí, které by člověk jen obtížně dosahoval.
AI útok pomáhala odhalit další AI
Zajímavým aspektem incidentu je, že umělou inteligenci nepoužívala pouze útočná strana.
Hugging Face provozuje systém pro detekci anomálií, který využívá LLM k třídění a korelaci bezpečnostní telemetrie. Právě kombinace několika signálů podle společnosti pomohla kompromitaci odhalit.
Ještě významnější roli dostala AI při následném vyšetřování.
Bezpečnostní tým musel rekonstruovat aktivitu tvořenou více než 17 000 zaznamenanými událostmi. Nad kompletním logem proto spustil analytické agenty založené na jazykových modelech.
Jejich úkolem bylo rekonstruovat časovou osu útoku, identifikovat indikátory kompromitace, zjistit, ke kterým přihlašovacím údajům útočník získal přístup, a oddělit skutečně relevantní aktivitu od falešných stop a dalšího šumu.
Podle Hugging Face díky tomu zvládl tým během několika hodin práci, která by za běžných okolností mohla trvat několik dní.
Právě zde ale vyšetřovatelé narazili na další problém.
Bezpečnostní guardraily komerčních AI služeb blokovaly forenzní analýzu
Hugging Face se nejprve pokusil pro forenzní analýzu využít pokročilé modely dostupné prostřednictvím komerčních API.
Analýza skutečného kybernetického incidentu však znamenala, že bylo nutné modelům předávat velké množství reálných útočných dat – příkazy použité útočníkem, exploit payloady nebo artefakty související s command-and-control infrastrukturou.
Bezpečnostní mechanismy poskytovatelů začaly podle Hugging Face část těchto požadavků blokovat.
Z pohledu ochranných mechanismů totiž mohou stejné příkazy vypadat jako žádost o pomoc s provedením kybernetického útoku. Systém přitom nemusí být schopen spolehlivě rozlišit útočníka od bezpečnostního analytika, který analyzuje již probíhající incident.
Vznikla tak pozoruhodná asymetrie.
Útočný agent podle Hugging Face nebyl omezen pravidly používání komerčních AI služeb, zatímco obránci při legitimní forenzní práci na podobná omezení narazili.
Řešením byl model provozovaný lokálně
Hugging Face nakonec forenzní analýzu provedl pomocí open-weight modelu GLM 5.2, který provozoval ve vlastní infrastruktuře.
Tím firma vyřešila dva problémy současně.
Provoz modelu ve vlastní infrastruktuře odstranil závislost na bezpečnostních guardrailech externích API. Zároveň nebylo nutné odesílat citlivá data z incidentu – včetně dat útočníka a přihlašovacích údajů, na které analyzované záznamy odkazovaly – mimo infrastrukturu společnosti.
Hugging Face proto bezpečnostním týmům doporučuje zvážit, zda nemít předem připravený a prověřený dostatečně schopný model, který lze při bezpečnostním incidentu provozovat lokálně.
Nejde přitom nutně o argument proti bezpečnostním omezením komerčních AI služeb. Incident ale ukazuje praktický problém: nástroje navržené tak, aby zabránily zneužití AI k útokům, mohou v některých situacích komplikovat legitimní incident response.
Hugging Face rotuje přístupové údaje a zpřísňuje ochranu
Po odhalení incidentu společnost uzavřela zranitelné cesty, které umožnily počáteční spuštění kódu při zpracování datasetu.
Kompromitované nody byly podle společnosti přebudovány, přístupové údaje a tokeny spojené s incidentem zneplatněny nebo změněny a Hugging Face zahájil také širší preventivní rotaci secrets.
Firma nasadila další bezpečnostní guardraily a zpřísnila admission controls ve svých clusterech. Současně upravila monitoring a alerting tak, aby kritický bezpečnostní signál vyvolal reakci odpovědného pracovníka během několika minut bez ohledu na den v týdnu.
Na vyšetřování spolupracují také externí specialisté na kybernetickou forenziku a incident byl podle Hugging Face oznámen orgánům činným v trestním řízení.
Uživatelům společnost preventivně doporučila rotaci přístupových tokenů a kontrolu nedávné aktivity na účtech.
Autonomní útoky přestávají být jen teoretickým scénářem
Při interpretaci incidentu je nutná určitá opatrnost. Hugging Face zatím nezveřejnil kompletní technickou analýzu, konkrétní identitu útočníka ani model použitý k řízení agentního systému. Není proto možné nezávisle potvrdit všechny detaily ani přesně určit míru autonomie, s jakou útočný systém pracoval.
Případ je přesto důležitým příkladem toho, jak může vypadat další vývoj kybernetických útoků.
Hodnota autonomních agentů pro útočníka totiž nemusí spočívat v objevení zcela nových technik. Významná může být především jejich schopnost automatizovat dlouhé řetězce již známých činností – průzkum prostředí, eskalaci oprávnění, práci s přihlašovacími údaji, laterální pohyb nebo průběžné přizpůsobování dalšího postupu.
Stejná technologie zároveň může výrazně urychlit práci obránců. Hugging Face tvrdí, že pomocí AI dokázal analyzovat více než 17 000 událostí a rekonstruovat rozsáhlou aktivitu útočníka během hodin místo dnů.
Incident tak ukazuje dvě strany stejného vývoje.
Autonomní AI může výrazně zvýšit rychlost a rozsah kybernetického útoku. Obránci ale budou pravděpodobně stále častěji potřebovat podobně automatizované nástroje, aby dokázali držet stejné tempo.
A zkušenost Hugging Face přidává ještě třetí otázku: zda budou mít bezpečnostní týmy v okamžiku skutečného incidentu k dispozici AI modely, které jim umožní analyzovat nebezpečný obsah bez toho, aby je bezpečnostní mechanismy používaných služeb zastavily.
Zdroj: Hugging Face, Security incident disclosure — July 2026, publikováno 16. července 2026.