技術的な説明
HuggingFace Transformers バージョン 5.2.0 では、LightGlue モデル読み込みパスが信頼されていない config.json から trust_remote_code 値を読み込み、ネストされた AutoConfig.from_pretrained() 呼び出しにこれを伝播させます。被害者が trust_remote_code=False を明示的に渡して AutoModel.from_pretrained() で LightGlue モデルを読み込むと、ネストされた呼び出しが被害者の意図をモデルリポジトリの config にある攻撃者制御値でオーバーライドし、攻撃者提供の Python モジュールを実行します。API 推論サーバー、研究ノートブック、CI/CD パイプライン、およびモデル評価ワーカーに影響します。
攻撃経路
攻撃者は HuggingFace Hub(またはアクセス可能なレジストリ)に trust_remote_code=True を設定する config.json を含む悪意あるモデルリポジトリを公開します。被害者が trust_remote_code=False でモデルを読み込むと、ネストされたコンフィグオーバーライドがモデル初期化時に攻撃者のコードを実行します — プロンプトまたは推論は不要です。
影響を受けるシステム
HuggingFace Transformers 5.2.0; 信頼されていないリポジトリから LightGlue モデルアーキテクチャを使用する任意のワークフロー。
緩和策
パッチ適用されたリリースが利用可能になったら HuggingFace Transformers 5.2.0 以降にアップグレードしてください(CVE は 2026-06-03 に公開;HuggingFace Transformers GitHub リリースノートを監視してください)。暫定的に、信頼できるベンダー検証済みリポジトリからのみ LightGlue モデルを読み込みます。読み込み前にモデル config.json ファイルをスキャンして予期しない trust_remote_code=True 値がないか確認します。可能な限りモデル読み込みをサンドボックス環境で隔離します。