기술 설명
HuggingFace Transformers 버전 5.2.0에서는 LightGlue 모델 로드 경로가 신뢰할 수 없는 config.json 파일에서 trust_remote_code 값을 읽고 이를 중첩 AutoConfig.from_pretrained() 호출로 전파합니다. 피해자가 trust_remote_code=False를 명시적으로 전달하여 AutoModel.from_pretrained()로 LightGlue 모델을 로드할 때, 중첩 호출은 피해자의 의도를 모델 저장소의 config에서 공격자가 제어하는 값으로 무시하고 공격자가 제공한 Python 모듈을 실행합니다. API 추론 서버, 연구 노트북, CI/CD 파이프라인 및 모델 평가 워커에 영향을 미칩니다.
공격 경로
공격자가 trust_remote_code=True로 설정하는 config.json을 포함하는 악의적인 모델 저장소를 HuggingFace Hub(또는 접근 가능한 다른 레지스트리)에 배포합니다. 피해자가 trust_remote_code=False로 모델을 로드할 때, 중첩 config 무시로 인해 모델 초기화 시간에 공격자의 코드가 실행됩니다 — 프롬프트나 추론이 필요하지 않습니다.
영향받는 시스템
HuggingFace Transformers 5.2.0; 신뢰할 수 없는 저장소의 LightGlue 모델 아키텍처와 함께 AutoModel.from_pretrained()를 사용하는 모든 워크플로우.
완화 방안
패치된 릴리스가 출시되면 HuggingFace Transformers를 5.2.0 이상으로 업그레이드하십시오(CVE는 2026-06-03에 공개되었습니다; HuggingFace Transformers GitHub 릴리스 노트를 모니터링하십시오). 그때까지 완전히 신뢰할 수 있는 공급업체 검증 저장소에서만 LightGlue 모델을 로드하십시오; 로드 전 모델 config.json 파일을 예기치 않은 trust_remote_code=True 값에 대해 스캔하십시오; 가능한 경우 모델 로드를 샌드박스 환경에 격리하십시오.