Nep OpenAI-model op Hugging Face stal gegevens van duizenden

Sophie Jansen · 2026-05-12

Stel je voor: je downloadt een AI-model dat afkomstig lijkt van OpenAI, maar in plaats van een slimme tool krijg je een digitaal inbrekerspakket. Dat is precies wat er gebeurde met een kwaadaardige repository op Hugging Face. Het platform, normaal een betrouwbare bron voor AI-ontwikkelaars, werd misbruikt om een zogenaamde Privacy Filter-release van OpenAI na te bootsen. Volgens beveiligingsonderzoek van HiddenLayer trof deze malware Windows-machines en registreerde het maar liefst 244.000 downloads voordat het werd verwijderd. Let wel: dat aantal is mogelijk opgeblazen door de aanvallers om het model populairder te laten lijken. De echte impact blijft dus onduidelijk. ### Hoe de aanval in zijn werk ging De repository, genaamd 'Open-OSS/privacy-filter', kopieerde bijna exact de originele modelkaart van OpenAI's Privacy Filter. Het verschil? De aanvallers voegden een kwaadaardig bestand toe: loader.py. Dit bestand leek op het eerste gezicht een normale AI-model-lader, maar verborg een geïnfecteerde keten. Het script schakelde SSL-verificatie uit, decodeerde een base64-gecodeerde URL op jsonkeeper.com en haalde daar instructies op. Vervolgens gaf het commando's door aan PowerShell op Windows-machines. Slim, want door jsonkeeper.com te gebruiken, konden de aanvallers de payload wijzigen zonder de repository aan te passen. De PowerShell-opdracht downloadde een extra batchbestand van een domein onder controle van de aanvallers. Daarna zorgde de malware voor persistentie door een geplande taak aan te maken die leek op een legitiem Microsoft Edge-updateproces. De uiteindelijke payload was een infostealer geschreven in Rust. Deze richtte zich op Chromium- en Firefox-gebaseerde browsers, Discord-opslag, cryptocurrency-portemonnees, FileZilla-configuraties en systeeminformatie. De malware probeerde ook Windows Antimalware Scan Interface en Event Tracing uit te schakelen. ### Waarom dit een groter probleem is Dit incident is geen op zichzelf staand geval. HiddenLayer ontdekte nog zes andere Hugging Face-repositories met vrijwel identieke loader-logica en gedeelde infrastructuur. Het past in een bredere trend: aanvallers zien AI-ontwikkelingsworkflows als een toegangspoort tot normaal beveiligde omgevingen. AI-repositories bevatten vaak uitvoerbare code, setup-instructies, afhankelijkheidsbestanden, notebooks en scripts. Het zijn deze randzaken die de problemen veroorzaken, niet de modellen zelf. Denk er maar eens over na. Ontwikkelaars en datawetenschappers klonen modellen direct in bedrijfsomgevingen die toegang hebben tot broncode, cloudgegevens en interne systemen. Dat maakt een gecompromitteerde repository meer dan een overlast. Het is een serieus beveiligingsrisico. ### Eerdere waarschuwingen en wat er nog meer speelt Onderzoekers waarschuwden eerder al dat kwaadaardige code verborgen kan worden in AI-modelbestanden of bijbehorende setup-scripts op Hugging Face en andere openbare registers. Eerdere gevallen betroffen Pickle-geserialiseerde modelbestanden die scanners omzeilden. Dit nieuwe voorbeeld toont aan dat de dreiging evolueert. Sakshi Grover, senior onderzoeksmanager voor cybersecurity bij IDC, legt uit dat traditionele SCA (Software Composition Analysis) is ontworpen om afhankelijkheidsmanifests, bibliotheken en containerimages te inspecteren. Het is minder effectief in het identificeren van kwaadaardige loader-logica in AI-repositories. In IDC's FutureScape-rapport van november 2025 staat de oproep dat tegen 2027 60% van de agentische AI-systemen een 'bill of materials' moet hebben. Dit helpt bedrijven bijhouden welke AI-artefacten ze gebruiken, waar ze vandaan komen en welke versies zijn goedgekeurd. ### Wat kun je doen? Voor professionals in Nederland die met AI werken, is het belangrijk om waakzaam te blijven. Hier zijn een paar praktische tips: - Controleer altijd de bron van een AI-model voordat je het downloadt. - Gebruik beveiligingstools die specifiek zijn ontworpen voor AI-repositories. - Houd je systemen up-to-date en wees alert op ongebruikelijke activiteiten. Deze zaak laat zien dat zelfs vertrouwde platforms zoals Hugging Face risico's kunnen vormen. Blijf kritisch en bescherm je omgeving.