OpenAI வெளியீடு போல வேடமிட்ட தீங்கிழைக்கும் Hugging Face ரிபொசிடரி infostealer-ஐப் பரப்பியது

OpenAI வெளியீடு போல வேடமிட்ட மால்வேர் Hugging Face பயனர்களை அடைந்தது

Hugging Face-ல் ஹோஸ்ட் செய்யப்பட்ட ஒரு தீங்கிழைக்கும் ரிபொசிடரி, OpenAI வெளியீடு போல நடித்து, நீக்கப்படும் முன் Windows அமைப்புகளுக்கு infostealer மால்வேர் பரப்பியதாக கூறப்படுகிறது.

DT Editorial AI

May 12, 2026·3 min read·642 words

AI விநியோக வாய்க்கால் மால்வேர் கவர்ச்சிக்கான வழியாகப் பயன்படுத்தப்பட்டது

Hugging Face-ல் ஹோஸ்ட் செய்யப்பட்ட ஒரு தீங்கிழைக்கும் ரிபொசிடரி, OpenAI வெளியீடு போல நடித்து, Windows கணினிகளுக்கு infostealer மால்வேரை வழங்கியதாக கூறப்படுகிறது; பின்னர் அது நீக்கப்பட்டது. AI News வெளியிட்ட இந்த சம்பவம் தாக்குதலுக்காக மட்டுமல்ல, வேகமாக நகரும் open model ecosystem-இல் நம்பிக்கை பற்றி அது சொல்வதற்காகவும் குறிப்பிடத்தக்கது.

வழங்கப்பட்ட அறிக்கை பகுதியில், அந்த ரிபொசிடரி நீக்கப்படுவதற்கு முன் சுமார் 244,000 பதிவிறக்கங்களைப் பெற்றதாக கூறப்படுகிறது. அந்த எண்ணிக்கை சரியென்றால், அளவு மட்டுமே இந்த சம்பவத்தை முக்கியமானதாக ஆக்குகிறது. Hugging Face மாதிரிகள், code, checkpointகள், மற்றும் AI தொடர்பான tooling-க்கு ஒரு நிலையான விநியோக இடமாக மாறியுள்ளது. அந்த மையத்தன்மை developerகள் மற்றும் ஆராய்ச்சியாளர்களுக்குப் பயனுள்ள உள்கட்டமைப்பாக இருக்கிறது; அதே சமயம், நம்பிக்கை வைப்பவர்கள் legimate வெளியீடுகள் என்று தோன்றும் விடயங்களை தாக்குதலாளர்கள் பயன்படுத்திக் கொள்ளக்கூடிய ஒரு ஈர்க்கும் இலக்காகவும் இருக்கிறது.

ஏன் இந்த impersonation கோணம் முக்கியம்

அந்த ரிபொசிடரி தன்னை OpenAI வெளியீடு என்று காட்டியதாக கூறப்படுகிறது. இந்த விவரம் முக்கியமானது, ஏனெனில் நவீன மென்பொருள் தாக்குதல்கள் பெரும்பாலும் மேம்பட்ட exploitation-களைவிட நம்பகத்தன்மையை அபகரிப்பதிலேயே வெற்றி பெறுகின்றன. அறிமுகமான brand name, நம்பத்தகுந்த file description, மற்றும் legit AI work-உடன் தொடர்புடைய விநியோக தளம் ஆகியவை தாக்குதலாளரின் வேலையின் பெரும்பகுதியை முன்கூட்டியே செய்து விடுகின்றன.

வேறுவிதமாகச் சொன்னால், தீங்கிழைக்கும் payload தெளிவாக சந்தேகத்திற்குரியதாக தோன்றும் விதத்தில் வரவில்லை. அது AI development workflow-ன் முன்கணிப்புகளுக்குள் சுற்றப்பட்டு வருகிறது. மாதிரிகள், agents, மற்றும் utilities-ஐ விரைவாகச் சோதிப்பதற்குப் பழகிய பயனர்கள் ஒரு ஆபத்தான shortcut-க்கு தள்ளப்படலாம்: project தொடர்புடையதாகத் தோன்றினால், hosting platform இயல்பாகத் தோன்றினால், scrutiny குறைந்து விடுகிறது.

AI & Robotics

Battery technology company Nyobolt has raised $60 million as it pushes fast-charging, high-durability power systems into autonomous robots and other always-on machines.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Cognex has introduced the In-Sight 3900, an integrated AI-powered machine vision system designed to run high-resolution industrial inspections at line speed.

DT Editorial AI·May 10, 2026·via therobotreport.com

AI & Robotics

Google has launched The Small Brief, pairing leading creative figures with local businesses while giving them access to its Flow AI creative studio to build campaigns.

DT Editorial AI·May 10, 2026·via blog.google

AI & Robotics

OpenAI, working with AMD, Broadcom, Intel, Microsoft, and NVIDIA, has released a new networking protocol through the Open Compute Project aimed at reducing congestion and failures in giant AI training clusters.

Windows பயனர்களுக்கான ஆபத்து

அந்த பகுதியில் software Windows machines-க்கு infostealer malware வழங்கியதாக கூறப்படுகிறது. Infostealerகள் பாதிக்கப்பட்ட system-களிலிருந்து மதிப்புமிக்க தகவல்களை எடுத்துக்கொள்ள உருவாக்கப்பட்டவை; இதில் அமைப்பைப் பொறுத்து credentials, tokens, local files, மற்றும் பிற உணர்வுப் புலன்கள் கொண்ட artifacts இருக்கலாம். developerகள் மற்றும் technical teams-க்கு, workstations-ல் பொதுவாக இருக்கும் பொருட்களால் இந்த ஆபத்து அதிகரிக்கிறது: cloud credentials, API keys, repository access, browser sessions, SSH material, மற்றும் internal documentation.

அதனால், seemingly குறுகிய ஒரு infection கூட பெரிய சூழலுக்குள் நுழைவுக் கதவாக மாறலாம். ஒரு தனிப்பட்ட machine compromise ஆக, account takeover, lateral movement, அல்லது proprietary code மற்றும் data வெளிப்பாடு ஏற்படலாம். AI-heavy workflows-இல், local experimentation பெரும்பாலும் cloud platforms மற்றும் production secrets-உடன் கலந்திருப்பதால், அந்த blast radius குறிப்பிடத்தக்கதாக இருக்கலாம்.

AI ecosystem ஏன் குறிப்பாக வெளிப்படையாக உள்ளது

AI software landscape rapid sharing-ஐ மையமாகக் கொண்டு வளர்ந்துள்ளது. Models fork செய்யப்படுகின்றன, remix செய்யப்படுகின்றன, மீண்டும் upload செய்யப்படுகின்றன. ரிபொசிடரிகள் விரைவாக traction பெறலாம். Experimentation ஊக்குவிக்கப்படுகிறது. இதெல்லாம் innovation-ஐ வேகப்படுத்துகிறது, ஆனால் social engineering-க்கு வளமான சூழலையும் உருவாக்குகிறது. தாக்குதலாளர்கள் platform-ன் core systems-ஐ உடைக்க வேண்டியதில்லை; community-யின் வேகம் மற்றும் trust pattern-ஐ அவர்கள் பயன்படுத்திக் கொள்ள முடிந்தால் போதும்.

இந்தச் சம்பவம் ஒரு புதிய threat pattern-ஐயும் காட்டுகிறது: முக்கிய AI brandகளின் visibility-ஐ bait-ஆக பயன்படுத்தும் தாக்குதலாளர்கள். Model வெளியீடுகள், benchmarking claims, மற்றும் tooling announcements பெரும் கவனத்தை ஈர்க்கும் போது, போலி அல்லது தீங்கிழைக்கும் பதிப்புகள் அந்த demand-ஐ piggyback செய்யலாம். நடைமுறையில், இதன் பொருள், பயனர்கள் இனி code quality-ஐ மட்டுமல்ல, haste-ஐ ஊக்குவிக்கும் சூழ்நிலையில் provenance-ஐயும் மதிப்பீடு செய்ய வேண்டியுள்ளது.

இந்தச் சம்பவம் என்ன மாற்ற வேண்டும்

குறைந்தபட்சமாக, model மற்றும் tool downloads-ஐ வழக்கமான software ecosystem-களில் இருந்து வரும் packageகள் மற்றும் binaryகளைப் போலவே சந்தேகத்துடன் அணுக வேண்டும் என்பதற்குத் teams-ஐ இச்சம்பவம் தள்ள வேண்டும். Brand impersonation சாத்தியமானதே என்று கருத வேண்டும். மதிப்புமிக்க platform-ல் host செய்யப்படுவது authenticity-க்கு ஆதாரம் அல்ல. AI experimentation-க்கு பயன்படும் Windows systems-ஐ குறிப்பாக உணர்வுப்பூர்வமானவையாகக் கருத வேண்டும், அவற்றில் browser sessions, development credentials, அல்லது cloud access இருந்தால்.

Platform operators-க்கு சவால் அதே அளவுக்கு தெளிவானது. Discovery மற்றும் openness core strengths ஆகும்; ஆனால் authenticity-க்கான வலுவான signals, விரைவான abuse detection, மற்றும் நன்கு அறியப்பட்ட பெயர்களை பயன்படுத்திக் கொள்ள முயலும் ரிபொசிடரிகளுக்கான தெளிவான எச்சரிக்கைகளுடன் அவை சமநிலைப்படுத்தப்பட வேண்டும். ஒரு AI platform எவ்வளவு மையமாக மாறுகிறதோ, அவ்வளவுக்கு அது security perimeter-ன் ஒரு பகுதியாகவும் மாறுகிறது.

AI வளர்ச்சியுடன் வழக்கமான cyber riskகளும் வரும் என்பதை நினைவூட்டுகிறது

AI risk பற்றி கோட்பாடான அல்லது எதிர்கால நோக்கில் பேசும் பழக்கம் உள்ளது. இந்த சம்பவம் அதைவிட நடைமுறைபூர்வமானது. இது malware, impersonation, platform trust, மற்றும் compromised endpoints பற்றியது. பரவலாகப் பயன்படுத்தப்படும் AI ரிபொசிடரி ecosystem-இல் host செய்யப்பட்ட ஒரு OpenAI வெளியீடு போலத் தோன்றும் lure இதில் இருந்தது என்பது, இந்தப் பாடத்தை மேலும் உடனடியாகக் காட்டுகிறது.

AI tooling main stream ஆகும்போது, அதன் threat model மற்ற software-களைப் போலவே மாறுகிறது: தாக்குதலாளர்கள் பயனர்கள் ஏற்கனவே இருக்கும் இடத்திற்குச் செல்கிறார்கள், உள்ள நம்பிக்கையைப் பயன்படுத்துகிறார்கள், மற்றும் caution-ஐத் தாண்ட urgenc-y அல்லது familiarity-யைப் பயன்படுத்துகிறார்கள். அதனால்தான் இந்தச் சம்பவம் கவனத்துக்குரியது.