OpenAI रिलीज़ का रूप धारण करने वाले दुर्भावनापूर्ण Hugging Face रिपॉजिटरी ने infostealer फैलाया

OpenAI रिलीज़ के रूप में छिपा मैलवेयर Hugging Face उपयोगकर्ताओं तक पहुँचा

Hugging Face पर होस्ट किया गया एक दुर्भावनापूर्ण रिपॉजिटरी कथित तौर पर OpenAI रिलीज़ के रूप में पेश हुआ, और हटाए जाने से पहले Windows सिस्टमों में infostealer मैलवेयर फैलाता रहा।

DT Editorial AI

May 12, 2026·4 min read·1,039 words

AI वितरण चैनल का इस्तेमाल मैलवेयर के लालच के रूप में किया गया

Hugging Face पर होस्ट किया गया एक दुर्भावनापूर्ण रिपॉजिटरी कथित तौर पर OpenAI रिलीज़ के रूप में छिपकर Windows मशीनों पर infostealer मैलवेयर पहुँचा रहा था, जिसे बाद में हटा दिया गया। AI News द्वारा रिपोर्ट की गई यह घटना केवल हमले के कारण ही नहीं, बल्कि तेज़ी से बढ़ते ओपन मॉडल इकोसिस्टम में भरोसे के बारे में जो बताती है, उसके कारण भी उल्लेखनीय है।

दिए गए रिपोर्ट अंश के अनुसार, हटाए जाने से पहले उस रिपॉजिटरी को लगभग 244,000 डाउनलोड मिले थे। यदि यह आँकड़ा सही है, तो सिर्फ़ पैमाना ही इस घटना को महत्वपूर्ण बना देता है। Hugging Face मॉडल, कोड, checkpoint और AI-सम्बंधित टूलिंग के लिए एक मानक वितरण स्थल बन चुका है। यह केंद्रीयता डेवलपर्स और शोधकर्ताओं के लिए इसे मूल्यवान आधारभूत ढांचा बनाती है, लेकिन साथ ही उन हमलावरों के लिए भी आकर्षक लक्ष्य बनाती है जो समझते हैं कि उपयोगकर्ता कथित रूप से वैध रिलीज़ पर कितना भरोसा करते हैं।

छल-कपट वाला यह रूप क्यों मायने रखता है

रिपॉजिटरी ने कथित तौर पर खुद को एक OpenAI रिलीज़ के रूप में पेश किया। यह विवरण महत्वपूर्ण है, क्योंकि आधुनिक सॉफ़्टवेयर हमले अक्सर उन्नत शोषण से कम, और विश्वसनीयता के अपहरण से अधिक सफल होते हैं। एक परिचित ब्रांड नाम, एक विश्वसनीय फ़ाइल विवरण, और एक वितरण मंच जो वैध AI काम से जुड़ा हो, हमलावर का बहुत सा काम पहले ही कर देता है।

दूसरे शब्दों में, दुर्भावनापूर्ण पेलोड ऐसी चीज़ के रूप में नहीं आता जो स्पष्ट रूप से संदिग्ध लगे। वह AI विकास कार्यप्रवाह की मान्यताओं में लिपटा हुआ आता है। जो उपयोगकर्ता जल्दी-जल्दी मॉडल, एजेंट और यूटिलिटीज़ परखने के आदी हो चुके हैं, उन्हें एक खतरनाक शॉर्टकट की ओर धकेला जा सकता है: अगर प्रोजेक्ट प्रासंगिक लगे और होस्टिंग प्लेटफ़ॉर्म सामान्य लगे, तो जाँच कम हो जाती है।

AI & Robotics

Battery technology company Nyobolt has raised $60 million as it pushes fast-charging, high-durability power systems into autonomous robots and other always-on machines.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Cognex has introduced the In-Sight 3900, an integrated AI-powered machine vision system designed to run high-resolution industrial inspections at line speed.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Google has launched The Small Brief, pairing leading creative figures with local businesses while giving them access to its Flow AI creative studio to build campaigns.

DT Editorial AI·May 10, 2026·via blog.google

AI & Robotics

OpenAI, working with AMD, Broadcom, Intel, Microsoft, and NVIDIA, has released a new networking protocol through the Open Compute Project aimed at reducing congestion and failures in giant AI training clusters.

Windows उपयोगकर्ताओं के लिए जोखिम

अंश में कहा गया है कि सॉफ़्टवेयर ने Windows मशीनों पर infostealer मैलवेयर पहुँचाया। Infostealers का उद्देश्य संक्रमित सिस्टम से मूल्यवान जानकारी निकालना होता है, जिसमें कॉन्फ़िगरेशन के आधार पर क्रेडेंशियल, टोकन, स्थानीय फ़ाइलें और अन्य संवेदनशील सामग्री शामिल हो सकती है। डेवलपर्स और तकनीकी टीमों के लिए यह जोखिम उन सामग्रियों के कारण और बढ़ जाता है जो अक्सर उनके वर्कस्टेशन पर मौजूद होती हैं: क्लाउड क्रेडेंशियल, API key, रिपॉजिटरी एक्सेस, ब्राउज़र सत्र, SSH सामग्री, और आंतरिक दस्तावेज़।

इसका मतलब है कि एक दिखने में सीमित संक्रमण भी बड़े वातावरण में प्रवेश-बिंदु बन सकता है। एक समझौता किया गया व्यक्तिगत मशीन खाता अधिग्रहण, lateral movement, या proprietary code और डेटा के उजागर होने का कारण बन सकती है। AI-भारी वर्कफ़्लो में, जहाँ स्थानीय प्रयोग अक्सर क्लाउड प्लेटफ़ॉर्म और production secrets के साथ जुड़ता है, उसका blast radius काफी बड़ा हो सकता है।

AI इकोसिस्टम विशेष रूप से क्यों खुला है

AI सॉफ़्टवेयर परिदृश्य तेज़ साझाकरण के आसपास विकसित हुआ है। मॉडल fork किए जाते हैं, remix होते हैं, और फिर से अपलोड किए जाते हैं। रिपॉजिटरी जल्दी लोकप्रिय हो सकती हैं। प्रयोग को प्रोत्साहन मिलता है। यह सब नवाचार को तेज़ करता है, लेकिन साथ ही सामाजिक अभियांत्रिकी के लिए उपजाऊ वातावरण भी बनाता है। हमलावरों को प्लेटफ़ॉर्म के कोर सिस्टम तोड़ने की ज़रूरत नहीं होती, अगर वे समुदाय की गति और भरोसे के पैटर्न का दुरुपयोग कर सकें।

यह घटना एक नए खतरे के पैटर्न को भी उजागर करती है: हमलावर प्रमुख AI ब्रांडों की दृश्यता को चारे की तरह इस्तेमाल कर रहे हैं। जैसे-जैसे मॉडल रिलीज़, बेंचमार्किंग दावे, और टूलिंग घोषणाएँ तीव्र ध्यान आकर्षित करती हैं, नकली या दुर्भावनापूर्ण संस्करण उस मांग पर सवार हो सकते हैं। व्यवहार में इसका मतलब है कि उपयोगकर्ता अब सिर्फ़ कोड गुणवत्ता का मूल्यांकन नहीं कर रहे, बल्कि ऐसी परिस्थितियों में provenance का भी मूल्यांकन कर रहे हैं जहाँ जल्दबाज़ी को पुरस्कृत किया जाता है।

इस घटना से क्या बदलना चाहिए

कम से कम, ऐसे मामलों को टीमों को मॉडल और टूल डाउनलोड को उसी संदेह की दृष्टि से देखने के लिए प्रेरित करना चाहिए जो पारंपरिक सॉफ़्टवेयर इकोसिस्टम से आने वाले पैकेज और बाइनरीज़ पर लंबे समय से लागू होती है। ब्रांड की नकल संभव माननी चाहिए। किसी सम्मानित मंच पर होस्ट होना प्रामाणिकता का प्रमाण नहीं है। AI प्रयोग के लिए उपयोग किए जाने वाले Windows सिस्टम खास संवेदनशील माने जाने चाहिए यदि उन पर ब्राउज़र सत्र, विकास क्रेडेंशियल, या क्लाउड एक्सेस हो।

प्लेटफ़ॉर्म ऑपरेटरों के लिए चुनौती उतनी ही स्पष्ट है। खोजयोग्यता और खुलापन उनकी मुख्य ताकतें हैं, लेकिन उन्हें प्रामाणिकता के मजबूत संकेतों, तेज़ दुरुपयोग-पहचान, और जब रिपॉजिटरी प्रसिद्ध नामों का फायदा उठाती दिखें तब स्पष्ट चेतावनियों के साथ संतुलित करना होगा। कोई AI प्लेटफ़ॉर्म जितना अधिक केंद्रीय होता है, उतना ही वह सुरक्षा परिधि का हिस्सा भी बन जाता है।

यह याद दिलाता है कि AI की वृद्धि के साथ साधारण साइबर जोखिम भी आते हैं

AI जोखिम पर अमूर्त या भविष्यवादी शब्दों में चर्चा करने की प्रवृत्ति है। यह मामला अधिक ठोस है। यह मैलवेयर, छद्मवेश, प्लेटफ़ॉर्म भरोसा, और compromised endpoints के बारे में है। तथ्य यह कि लालच एक कथित OpenAI रिलीज़ के इर्द-गिर्द था, जिसे एक व्यापक रूप से उपयोग किए जाने वाले AI रिपॉजिटरी इकोसिस्टम में होस्ट किया गया, इस सबक को और अधिक तत्काल बना देता है।

जैसे-जैसे AI टूलिंग मुख्यधारा बनती है, उसका threat model बाकी सॉफ़्टवेयर जैसा दिखने लगता है: हमलावर वहीं जाते हैं जहाँ उपयोगकर्ता पहले से मौजूद हैं, जहाँ भरोसा पहले से मौजूद है उसका फ़ायदा उठाते हैं, और सावधानी को काटने के लिए urgency या familiarity का उपयोग करते हैं। यही कारण है कि इस घटना पर ध्यान देना चाहिए।

यह लेख AI News की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

OpenAI रिलीज़ के रूप में छिपा मैलवेयर Hugging Face उपयोगकर्ताओं तक पहुँचा

AI वितरण चैनल का इस्तेमाल मैलवेयर के लालच के रूप में किया गया

छल-कपट वाला यह रूप क्यों मायने रखता है

Related Articles

Keep Reading

Bain sees a $100 billion opening for agentic AI in enterprise software

Windows उपयोगकर्ताओं के लिए जोखिम

AI इकोसिस्टम विशेष रूप से क्यों खुला है

Robotics Integrators Are Relearning a Basic Lesson: Harsh Environments Break Clean-Room Assumptions

सप्लाई-चेन चेतावनी का एक छोटा उदाहरण

इस घटना से क्या बदलना चाहिए

Warehouse Automation’s Hardest Problem May Be the Last 20%

यह याद दिलाता है कि AI की वृद्धि के साथ साधारण साइबर जोखिम भी आते हैं

Comments (0)

Singular Bank’s Internal AI Assistant Shows Where Applied Finance Automation Is Heading

Nyobolt Raises $60 Million to Expand Fast-Charging Power Systems for Robots

Cognex Launches Embedded AI Vision System Aimed at Full-Speed Factory Inspection

Google’s Small Brief Shows AI Ad Tools Moving Closer to Mainstream Brand Work

OpenAI and partners release MRC to toughen AI training networks