AI-veiligheidswaarschuwing: neppe OpenAI-repo op Hugging Face

Sophie Jansen · 2026-05-12

Stel je voor: je downloadt een AI-model van Hugging Face, denkend dat het van OpenAI komt. Maar in werkelijkheid installeer je stiekem malware die al je wachtwoorden en crypto-portemonnee steelt. Dit is precies wat er gebeurde met een kwaadaardige repository die zich voordeed als een officiële OpenAI-release. Volgens onderzoek van AI-beveiligingsbedrijf HiddenLayer trof de zogenaamde 'Open-OSS/privacy-filter' Windows-machines en werd maar liefst 244.000 keer gedownload voordat het werd verwijderd. Het aantal downloads is mogelijk kunstmatig opgehoogd door de aanvallers om het model populairder te laten lijken, dus de werkelijke impact is onbekend. ### Hoe de aanval werkte De neppe repository kopieerde bijna exact de originele modelkaart van OpenAI's Privacy Filter. De boosdoeners voegden een kwaadaardig loader.py-bestand toe dat credential-stelende malware op Windows-systemen installeerde. Het README-bestand leek sprekend op dat van het echte project, maar week af met instructies om start.bat (Windows) of python loader.py (Linux/macOS) uit te voeren. Dit was de kern van de infectieketen. De repository bereikte binnen 18 uur de top van de 'trending'-lijst op Hugging Face met 667 likes – ook dit getal kan zijn gemanipuleerd.  ### Verborgen infectieketen HiddenLayer ontdekte dat loader.py begon met neppe code die leek op een normale AI-model-lader, maar snel overschakelde naar een verborgen infectieketen. Het script schakelde SSL-verificatie uit, decodeerde een base64-gecodeerde URL naar jsonkeeper.com, haalde een externe payload-instructie op en gaf commando's door aan PowerShell op Windows-machines. De PowerShell-opdracht downloadde vervolgens een batchbestand van een domein dat door de aanvallers werd gecontroleerd. De malware zorgde voor persistentie door een geplande taak aan te maken die leek op een legitiem Microsoft Edge-updateproces. De uiteindelijke payload was een in Rust geschreven infostealer. Deze richtte zich op: - Chromium- en Firefox-gebaseerde browsers - Discord lokale opslag - Cryptocurrency-portemonnees - FileZilla-configuraties - Systeeminformatie van de host De malware probeerde ook Windows Antimalware Scan Interface en Event Tracing uit te schakelen. ### Een groter probleem HiddenLayer vond nog zes andere Hugging Face-repositories met vrijwel identieke loader-logica die dezelfde infrastructuur deelden. Dit volgt op eerdere waarschuwingen over kwaadaardige AI-modellen, waaronder vergiftigde AI SDK's en neppe OpenClaw-installatieprogramma's. De rode draad: aanvallers gebruiken AI-ontwikkelworkflows als toegangspoort tot normaal beveiligde omgevingen. AI-repositories bevatten vaak uitvoerbare code, setup-instructies, afhankelijkheidsbestanden, notebooks en scripts. Het zijn deze perifere elementen die de problemen veroorzaken, niet de modellen zelf. ### Wat kun je doen? Sakshi Grover, senior research manager voor cybersecurity services bij IDC, waarschuwt dat traditionele SCA (Software Composition Analysis) is ontworpen om dependency-manifests, bibliotheken en container-images te inspecteren. Het is minder effectief in het identificeren van kwaadaardige loader-logica in AI-repositories. IDC's FutureScape-rapport van november 2025 stelt dat tegen 2027 60% van de agentische AI-systemen een 'bill of materials' (BOM) moeten hebben. Dit helpt bedrijven bij te houden welke AI-artefacten ze gebruiken, hun bron en welke versies zijn goedgekeurd. ### Conclusie Publieke AI-modelregisters worden steeds meer een risico in de softwaretoeleveringsketen. Ontwikkelaars en data scientists klonen modellen direct in bedrijfsomgevingen die toegang hebben tot broncode, cloudcredentials en interne systemen. Een gecompromitteerde modelrepository is dus veel meer dan een overlast. Blijf alert, controleer altijd de herkomst van AI-modellen en gebruik geen executie-instructies uit repositories zonder grondige verificatie. Beveiliging is geen eenmalige actie, maar een doorlopend proces.