OpenAI रिलीझचा बनाव करणाऱ्या दुष्ट Hugging Face रिपॉझिटरीने infostealer पसरवले

OpenAI रिलीझच्या रूपात लपलेले मालवेअर Hugging Face वापरकर्त्यांपर्यंत पोहोचले

Hugging Face वर होस्ट केलेल्या एका दुष्ट रिपॉझिटरीने OpenAI रिलीझ असल्याचा बनाव करून Windows सिस्टीममध्ये infostealer मालवेअर पसरवले, आणि नंतर ते काढून टाकण्यात आले.

DT Editorial AI

May 12, 2026·3 min read·745 words

AI वितरण वाहिन्याचा वापर मालवेअरच्या आमिषासाठी झाला

Hugging Face वर होस्ट केलेल्या एका दुष्ट रिपॉझिटरीने OpenAI रिलीझ असल्याचा बनाव करून Windows मशीनवर infostealer मालवेअर दिल्याची माहिती आहे, आणि नंतर ते हटवण्यात आले. AI News ने दिलेल्या या घटनेचे महत्त्व केवळ हल्ल्यासाठी नाही, तर जलदगतीने चालणाऱ्या open model ecosystem मधील विश्वासाबद्दल ती काय सांगते यासाठीही आहे.

दिलेल्या अहवालाच्या उताऱ्यानुसार, काढून टाकण्यापूर्वी त्या रिपॉझिटरीला सुमारे 244,000 डाउनलोड्स मिळाले होते. हा आकडा खरा असेल, तर प्रमाणच या घटनेला महत्त्वपूर्ण बनवते. Hugging Face मॉडेल, code, checkpoint, आणि AI-संबंधित tooling साठी एक मानक वितरण ठिकाण बनले आहे. ती मध्यवर्ती भूमिका developers आणि researchers साठी उपयुक्त पायाभूत सुविधा बनवते, पण त्याचबरोबर वैध रिलीझवर वापरकर्ते ठेवतात त्या विश्वासाचा फायदा घेऊ शकणाऱ्या हल्लेखोरांसाठीही आकर्षक लक्ष्य बनते.

हा impersonation कोन का महत्त्वाचा आहे

त्या रिपॉझिटरीने स्वतःला OpenAI रिलीझ म्हणून सादर केल्याची माहिती आहे. हा तपशील महत्त्वाचा आहे, कारण आधुनिक सॉफ्टवेअर हल्ले अनेकदा advanced exploitation पेक्षा credibility hijacking मधून अधिक यशस्वी होतात. ओळखीचे brand name, विश्वासार्ह file description, आणि वैध AI कामाशी जोडलेले distribution platform हे हल्लेखोराचे बरेचसे काम आधीच करून टाकतात.

दुसऱ्या शब्दांत, दुष्ट payload स्पष्टपणे संशयास्पद दिसेल अशा स्वरूपात येत नाही. तो AI development workflow च्या गृहितकांमध्ये गुंडाळून येतो. मॉडेल, एजंट, आणि utilities पटकन तपासण्याची सवय लागलेल्या वापरकर्त्यांना एक धोकादायक shortcut घ्यायला प्रवृत्त केले जाऊ शकते: प्रकल्प संबंधित दिसला आणि hosting platform सामान्य वाटला, तर scrutiny कमी होते.

AI & Robotics

Battery technology company Nyobolt has raised $60 million as it pushes fast-charging, high-durability power systems into autonomous robots and other always-on machines.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Cognex has introduced the In-Sight 3900, an integrated AI-powered machine vision system designed to run high-resolution industrial inspections at line speed.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Google has launched The Small Brief, pairing leading creative figures with local businesses while giving them access to its Flow AI creative studio to build campaigns.

DT Editorial AI·May 10, 2026·via blog.google

AI & Robotics

OpenAI, working with AMD, Broadcom, Intel, Microsoft, and NVIDIA, has released a new networking protocol through the Open Compute Project aimed at reducing congestion and failures in giant AI training clusters.

AI ecosystem विशेषतः उघडे का आहे

AI software landscape जलद sharing भोवती वाढली आहे. Models fork होतात, remix होतात, पुन्हा upload होतात. रिपॉझिटरी पटकन traction मिळवू शकतात. Experimentation ला प्रोत्साहन दिले जाते. हे सर्व innovation वेगाने पुढे नेते, पण social engineering साठी सुपीक वातावरणही तयार करते. हल्लेखोरांना platform च्या core systems वर घाव घालण्याची गरज नसते, जर ते समुदायाचा वेग आणि trust pattern वापरून फसवू शकत असतील.

ही घटना एका नव्या threat pattern कडेही निर्देश करते: मोठ्या AI brand ची visibility bait म्हणून वापरणारे हल्लेखोर. Model releases, benchmarking claims, आणि tooling announcements जेव्हा तीव्र लक्ष वेधून घेतात, तेव्हा बनावट किंवा दुष्ट आवृत्त्या त्या मागणीवर स्वार होऊ शकतात. प्रत्यक्षात, याचा अर्थ वापरकर्त्यांना आता केवळ code quality नाही, तर haste ला प्रोत्साहन देणाऱ्या परिस्थितीत provenance सुद्धा तपासावी लागते.

या घटनेमुळे काय बदलायला हवे

किमान, model आणि tool downloads कडे पारंपरिक software ecosystems मधील package आणि binary प्रमाणेच संशयाने पाहावे, ही भावना या घटनेने teams मध्ये निर्माण केली पाहिजे. Brand impersonation शक्य आहे असे गृहीत धरले पाहिजे. प्रतिष्ठित platform वर host केले आहे म्हणजे authenticity सिद्ध होत नाही. AI experimentation साठी वापरल्या जाणाऱ्या Windows systems ला विशेष संवेदनशील मानले पाहिजे, जर त्यावर browser sessions, development credentials, किंवा cloud access असेल.

Platform operators साठी आव्हानही तितकेच स्पष्ट आहे. Discovery आणि openness ही core strengths आहेत; पण त्यांना authenticity चे मजबूत संकेत, जलद abuse detection, आणि परिचित नावांचा फायदा घेऊ पाहणाऱ्या रिपॉझिटरींसाठी स्पष्ट इशाऱ्यांसह समतोल साधावा लागेल. AI platform जितका अधिक केंद्रस्थानी होतो, तितकाच तो security perimeter चा भागही बनतो.