Terror en Hugging Face: bibliotecas de IA de Nvidia, Apple y Salesforce envenenadas de código malicioso oculto

En los últimos días, muchos desarrolladores se han llevado un buen susto al descubrir que algunas de las bibliotecas de inteligencia artificial más famosas y, por lo tanto, usadas a nivel mundial, podían estar en peligro. 

En concreto, hablamos de proyectos y herramientas creadas por pesos pesados como Nvidia, Apple y Salesforce, y usadas a diario por miles de personas a través de la plataforma Hugging Face.

Todo salió a la luz cuando expertos en ciberseguridad detectaron que se podía esconder código malicioso dentro de los metadatos de ciertos modelos.

 De forma simple, alguien podía subir un modelo que parecía normal, pero que llevaba algo no muy bueno dentro, listo para activarse cuando otro usuario lo descargara y lo pusiera en marcha.

Por suerte, hasta ahora no hay pruebas de que nadie haya aprovechado este agujero para atacar de verdad. Pero el simple hecho de que existiera ya es motivo suficiente para preocuparse. Porque estas librerías se descargan millones de veces y están metidas en proyectos de empresas, universidades y startups de todo el mundo.

Linus Torvalds se pasa al lado oscuro: ha comenzado a crear código generado con IA

Las herramientas afectadas son NeMo, Uni2TS y FlexTok. Cada una está ligada a un gigante tecnológico distinto, pero todas tienen algo en común y que usan una pieza de software llamada Hydra, muy conocida en el mundo de la IA para gestionar configuraciones. Y justo ahí es donde estaba el problema.

El fallo que nadie veía, pero estaba en todas partes

Tal y como comentan desde The Register, "las tres bibliotecas utilizan Hydra, otra biblioteca de Python mantenida por Meta y comúnmente utilizada como herramienta de gestión de configuración para proyectos de aprendizaje automático. En concreto, las vulnerabilidades afectan a la función "instanciate()" de Hydra".

Hydra tiene una función pensada para facilitar la vida a los desarrolladores. Sirve para cargar configuraciones de forma automática y hacer que todo funcione sin tener que escribir mil líneas de código. El problema es que esa comodidad también puede abrir la puerta a usos maliciosos si no se controla bien.

Alerta Linux: este malware ninja ultra-avanzado ya acecha las nubes de AWS y Google Cloud

Los investigadores descubrieron que, usando esa función de cierta forma, se podía colar código malicioso dentro de los archivos de un modelo. Así, cuando alguien lo abría, el sistema ejecutaba órdenes que nunca deberían haberse ejecutado. Todo sin avisos, sin ventanas raras y sin levantar sospechas.

Para un atacante, el plan sería bastante sencillo y tan solo tendría que coger un modelo, hacer una pequeña modificación, prometer alguna mejora y añadir dentro el código malicioso. Cuando otros usuarios lo descargaran pensando que es una versión mejorada, el daño ya estaría hecho.

Dejando esto a un lado, en cuanto se conoció el fallo, las empresas afectadas reaccionaron rápido. Nvidia, Salesforce y el equipo de Apple junto a investigadores suizos publicaron parches y avisos de seguridad. Incluso se asignaron códigos oficiales a las vulnerabilidades para que quedaran registradas y nadie las perdiera de vista.