Curtis Carmony, Malware-Forscher bei Unit 42, erklärt die Situation so: „Es ist üblich, dass Developer eigene Varianten modernster Modelle mit unterschiedlichen Feinabstimmungen und Quantisierungen erstellen, oft von Forschenden, die keiner renommierten Institution angehören.“ Angreifende müssten dann nur noch ein bereits existierendes, weit verbreitetes Modell modifizieren, welches „einen tatsächlichen oder vermeintlichen Vorteil bietet, und dann schädliche Metadaten hinzufügen.“
Dadurch, dass Hugging Face die Metadaten nicht so leicht zugänglich macht wie andere Dateien sowie Dateien, die Safetensors oder das NeMo-Dateiformat verwenden, nicht als potenziell unsicher kennzeichnet, wird die Situation noch verschärft.
Viel Verbreitung, viel Angriffsfläche
Ein weiterer Faktor ist, dass, laut Unit 24 über 100 Python-Libraries auf Hugging Face für KI- und ML-Modelle verwendet werden – und fast 50 von ihnen Hydra nutzen. Carmony erläutert, dass diese Formate an sich nicht unsicher sind, aber „der Code, der sie verwendet, eine sehr große Angriffsfläche“ bietet.
