OpenAI release-এর ছদ্মবেশী ক্ষতিকর Hugging Face repo infostealer ছড়িয়েছে

OpenAI রিলিজ হিসেবে ছদ্মবেশী ম্যালওয়্যার Hugging Face ব্যবহারকারীদের কাছে পৌঁছেছে

Hugging Face-এ হোস্ট করা একটি ক্ষতিকর রিপোজিটরি নাকি OpenAI রিলিজ সেজে Windows সিস্টেমে infostealer ম্যালওয়্যার ছড়িয়েছে, পরে সেটি সরিয়ে ফেলা হয়।

DT Editorial AI

May 12, 2026·3 min read·771 words

AI বিতরণ চ্যানেলকে ম্যালওয়্যার লোভের জন্য ব্যবহার করা হয়েছিল

Hugging Face-এ হোস্ট করা একটি ক্ষতিকর রিপোজিটরি নাকি OpenAI রিলিজ সেজে Windows মেশিনে infostealer ম্যালওয়্যার পৌঁছে দিয়েছিল, পরে সেটি সরিয়ে ফেলা হয়। AI News-এর প্রতিবেদনে উঠে আসা এই ঘটনাটি শুধু আক্রমণের জন্যই নয়, বরং দ্রুতগতির open model ecosystem-এ আস্থা সম্পর্কে যা বলে, তার জন্যও উল্লেখযোগ্য।

দেওয়া প্রতিবেদনের অংশ অনুযায়ী, সরিয়ে ফেলার আগে ওই রিপোজিটরি প্রায় ২,৪৪,০০০ ডাউনলোড পেয়েছিল। যদি এই সংখ্যা সত্যি হয়, তাহলে একক পরিসরটিই ঘটনাটিকে গুরুত্বপূর্ণ করে তোলে। Hugging Face মডেল, code, checkpoint, এবং AI-সম্পর্কিত tooling বিতরণের একটি মানক জায়গা হয়ে উঠেছে। এই কেন্দ্রীয়তা developers এবং researchers-এর জন্য এটিকে মূল্যবান অবকাঠামো করে তোলে, কিন্তু একই সঙ্গে এমন আক্রমণকারীদের জন্যও আকর্ষণীয় লক্ষ্য বানায়, যারা জানে ব্যবহারকারীরা আপাতদৃষ্টিতে বৈধ release-এ কতটা ভরসা করে।

ছদ্মবেশের দিকটি কেন গুরুত্বপূর্ণ

ওই রিপোজিটরি নাকি নিজেকে OpenAI release হিসেবে উপস্থাপন করেছিল। এই বিবরণটি গুরুত্বপূর্ণ, কারণ আধুনিক software আক্রমণ প্রায়ই advanced exploitation-এর চেয়ে credibility hijacking-এ বেশি সফল হয়। একটি পরিচিত brand name, একটি বিশ্বাসযোগ্য file description, এবং বৈধ AI কাজের সঙ্গে যুক্ত একটি distribution platform আক্রমণকারীর কাজের অনেকটাই আগেই করে দেয়।

অন্যভাবে বললে, ক্ষতিকর payload এমনভাবে আসে না যা স্পষ্টতই সন্দেহজনক দেখায়। এটি AI development workflow-এর ধারণাগুলোর ভেতরে মোড়ানো অবস্থায় আসে। যারা model, agent, এবং utility দ্রুত পরীক্ষা করতে অভ্যস্ত, তাদের একটি বিপজ্জনক shortcut-এর দিকে ঠেলে দেওয়া যায়: project প্রাসঙ্গিক দেখালে এবং hosting platform স্বাভাবিক মনে হলে, scrutiny কমে যায়।

AI & Robotics

Battery technology company Nyobolt has raised $60 million as it pushes fast-charging, high-durability power systems into autonomous robots and other always-on machines.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Cognex has introduced the In-Sight 3900, an integrated AI-powered machine vision system designed to run high-resolution industrial inspections at line speed.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Google has launched The Small Brief, pairing leading creative figures with local businesses while giving them access to its Flow AI creative studio to build campaigns.

DT Editorial AI·May 10, 2026·via blog.google

AI & Robotics

OpenAI, working with AMD, Broadcom, Intel, Microsoft, and NVIDIA, has released a new networking protocol through the Open Compute Project aimed at reducing congestion and failures in giant AI training clusters.

Windows ব্যবহারকারীদের ঝুঁকি

অংশটিতে বলা হয়েছে, সফটওয়্যারটি Windows মেশিনে infostealer ম্যালওয়্যার সরবরাহ করেছিল। Infostealer এমন ম্যালওয়্যার যা সংক্রমিত সিস্টেম থেকে মূল্যবান তথ্য বের করে নেওয়ার জন্য তৈরি; এতে কনফিগারেশনের ওপর নির্ভর করে credentials, tokens, local files, এবং অন্যান্য সংবেদনশীল artifact থাকতে পারে। developers এবং technical teams-এর ক্ষেত্রে ঝুঁকি আরও বেড়ে যায়, কারণ তাদের ওয়ার্কস্টেশনে প্রায়ই থাকে cloud credentials, API keys, repository access, browser sessions, SSH material, এবং internal documentation।

এর মানে, দেখতে ছোট মনে হওয়া একটি infection-ও বড় পরিবেশে প্রবেশপথ হয়ে উঠতে পারে। একটি compromise হওয়া ব্যক্তিগত machine account takeover, lateral movement, বা proprietary code এবং data ফাঁসের দিকে নিয়ে যেতে পারে। AI-heavy workflows-এ, যেখানে local experimentation প্রায়ই cloud platform এবং production secrets-এর সঙ্গে মিশে যায়, সেই blast radius যথেষ্ট বড় হতে পারে।

AI ecosystem কেন বিশেষভাবে উন্মুক্ত

AI software landscape দ্রুত sharing-এর চারপাশে বেড়ে উঠেছে। Models fork করা হয়, remix করা হয়, আবার upload করা হয়। রিপোজিটরি দ্রুত traction পেতে পারে। Experimentation উৎসাহিত হয়। এগুলো innovation-কে দ্রুত করে, কিন্তু social engineering-এর জন্য উর্বর পরিবেশও তৈরি করে। আক্রমণকারীদের platform-এর core systems ভাঙতে হয় না, যদি তারা কমিউনিটির গতি এবং trust pattern-কে কাজে লাগাতে পারে।

এই ঘটনাটি একটি নতুন threat pattern-ও দেখায়: বড় AI brand-এর visibility-কে bait হিসেবে ব্যবহার করা আক্রমণকারীরা। Model release, benchmarking claim, এবং tooling ঘোষণা যখন তীব্র মনোযোগ পায়, তখন নকল বা ক্ষতিকর সংস্করণ সেই demand-এর ওপর ride করতে পারে। বাস্তবে, এর মানে ব্যবহারকারীরা এখন শুধু code quality নয়, haste-কে উৎসাহিত করে এমন পরিস্থিতিতে provenance-ও যাচাই করতে বাধ্য হচ্ছেন।