Nieuws

Kwetsbaarheid in Hugging Face Transformers maakt externe codeuitvoering mogelijk

Een kwetsbaarheid in Hugging Face Transformers, aangeduid als CVE-2026-4372, stelt kwaadaardige AI-modellen in staat om externe code uit te voeren via een speciaal geconstrueerd config.json-bestand. De fout omzeilt de beveiligingsinstelling trust_remote_code=False en kan leiden tot blootstelling van cloudcredentials, API-sleutels en andere gevoelige gegevens. Het beveiligingslek werd ontdekt door onderzoekers van Pluto en trof meerdere versies van de bibliotheek.