Transformers-Luecke macht Modell-Downloads zur Code-Falle

Worum es geht

+Am 4. Juni 2026 veroeffentlichte Pluto Security Details zu CVE-2026-4372, einer Remote-Code-Execution-Luecke in Hugging Face Transformers. Die Luecke betraf nach Pluto die Versionen 4.56.0 bis 5.2.x, wenn das zusaetzliche Paket kernels installiert war. Der Fix steckt in Transformers 5.3.0 oder neuer. + +Das Brisante ist nicht nur, dass fremder Code laufen konnte. Brisant ist der Weg: Ein Angreifer konnte laut NVD und Pluto ein manipuliertes config.json eines Modells nutzen und damit die Schutzannahme umgehen, dass trust_remote_code=False das automatische Ausfuehren fremden Codes verhindert. + +## Was die Luecke tatsaechlich macht + +Transformers laedt Modelle oft ueber from_pretrained(). Dabei werden Konfiguration, Gewichte und weitere Modellteile vom Hugging Face Hub oder aus lokalen Caches gelesen. Bei CVE-2026-4372 konnte ein manipuliertes Feld namens _attn_implementation_internal in der Modellkonfiguration eine unsandboxed Kernel-Ladepfad ausloesen. + +Aus Sicht des Anwenders sah der Vorgang normal aus. Kein rotes Fenster, kein bewusstes Setzen von trust_remote_code=True, kein offensichtlicher Sonderfall. Genau deshalb ist die Luecke fuer ML-Plattformen, CI-Pipelines und GPU-Testumgebungen relevant. + +## Warum das wichtig ist + +Hugging Face Transformers ist eine der zentralen Bibliotheken fuer moderne Machine-Learning-Workflows. Pluto nennt mehr als 2,2 Milliarden PyPI-Installationen, rund 146 Millionen Downloads pro Monat und mehr als eine Million Modelle auf dem Hugging Face Hub. Selbst wenn nur ein Teil der Installationen verwundbar war, ist die Angriffsoberflaeche gross. + +Der Fall verschiebt die Sicherheitsdebatte. Lange galt: Wenn man kein Remote-Code-Flag aktiviert und keine dubiosen Skripte ausfuehrt, ist ein Modell-Download im Wesentlichen ein Datenvorgang. CVE-2026-4372 zeigt, dass Modellkonfiguration selbst zu einer Code-Ausfuehrungsgrenze werden kann. + +## Einfach erklaert + +Stell dir vor, du kaufst ein neues Regal und liest nur die Aufbauanleitung. In der Anleitung steht aber versteckt: "Ruf diesen Fremden an und gib ihm deinen Hausschluessel." Genau das ist die Gefahr bei manipulierten Modell-Konfigurationen: Die Datei wirkt wie Beschreibung, kann aber einen gefaehrlichen Ablauf starten. + +Bei KI-Modellen ist config.json nicht nur Etikett. Sie beeinflusst, wie die Bibliothek das Modell zusammensetzt. Wenn diese Grenze nicht sauber kontrolliert wird, wird ein harmlos wirkender Download zum Ausfuehrungspfad. + +## Praktisches Beispiel + +Ein Team testet jede Woche 200 neue Open-Source-Modelle fuer einen Support-Chatbot. Die Tests laufen auf GPU-Runnern mit Cloud-Zugang, weil Benchmarks schnell fertig sein muessen. Ein manipuliertes Modell landet in der Kandidatenliste und wird automatisch mit from_pretrained() geladen. + +Wenn der Runner verwundbar ist, koennte fremder Code Umgebungsvariablen, API-Schluessel oder Kubernetes-Konfigurationen lesen. Selbst wenn der Angriff nur bei einem Prozent der Tests greift, reicht ein einziger kompromittierter Runner, um interne Secrets offenzulegen. Deshalb gehoert Modell-Loading in isolierte, ueberwachte Umgebungen. + +## Einordnung und Grenzen + +- Betroffen ist laut Pluto die Kombination aus verwundbaren Transformers-Versionen und installiertem kernels-Paket; nicht jede Installation war gleich stark exponiert. +- Die Luecke ist mit Transformers 5.3.0 oder neuer adressiert, aber alte Versionen koennen in Notebooks, Images und CI-Caches weiterleben. +- Der Bericht beweist kein Massen-Ausnutzen. Er belegt aber, dass die technische Schutzannahme hinter trust_remote_code=False in diesem Pfad gebrochen werden konnte. + +## SEO- und GEO-Schluesselbegriffe + +Hugging Face, Transformers, CVE-2026-4372, AI Security, KI-Supply-Chain, Remote Code Execution, model loading, trust_remote_code, config.json, Pluto Security, PyPI, machine learning security