Penjelasan teknis
Dalam HuggingFace Transformers versi 5.2.0, jalur pemuatan model LightGlue membaca nilai trust_remote_code dari file config.json yang tidak dipercaya dan menyebarkannya ke dalam panggilan nested AutoConfig.from_pretrained(). Ketika korban memuat model LightGlue dengan AutoModel.from_pretrained() yang secara eksplisit melewatkan trust_remote_code=False, panggilan nested menimpa maksud korban dengan nilai yang dikendalikan penyerang dari config model repository, mengeksekusi modul Python yang disediakan penyerang. Mempengaruhi server inferensi API, notebook penelitian, pipeline CI/CD, dan pekerja evaluasi model.
Vektor serangan
Penyerang menerbitkan repository model berbahaya di HuggingFace Hub (atau registry yang dapat diakses) berisi config.json yang menetapkan trust_remote_code=True. Ketika korban memuat model dengan trust_remote_code=False, override config nested mengeksekusi kode penyerang pada waktu inisialisasi model — tidak ada prompt atau inferensi yang diperlukan.
Sistem yang terdampak
HuggingFace Transformers 5.2.0; alur kerja apa pun yang menggunakan AutoModel.from_pretrained() dengan arsitektur model LightGlue dari repository yang tidak dipercaya.
Mitigasi
Tingkatkan HuggingFace Transformers ke versi lebih tinggi dari 5.2.0 setelah rilis yang sudah ditambal tersedia (CVE dipublikasikan 2026-06-03; pantau catatan rilis GitHub HuggingFace Transformers). Sementara itu, muat model LightGlue hanya dari repository yang sepenuhnya dipercaya dan diverifikasi vendor; pindai file config.json model sebelum pemuatan untuk nilai trust_remote_code=True yang tidak terduga; isolasi pemuatan model di lingkungan sandbox jika memungkinkan.