Celah Kritis di Hugging Face Transformers Bisa Bobol Sistem Lewat File Konfigurasi AI, 2,2 Miliar Instalasi Terancam

CLB.my.id - Sebuah kerentanan keamanan tingkat tinggi yang ditemukan di pustaka Hugging Face Transformers memungkinkan penyerang mengambil alih sistem hanya melalui file konfigurasi model AI yang sudah dimodifikasi. Celah ini, yang kini dilacak dengan kode CVE-2026-4372, memengaruhi lebih dari 2,2 miliar total instalasi dan versi rentan masih diunduh 7 hingga 8 juta kali setiap minggu.

Pustaka Transformers memungkinkan pengembang Python menjalankan lebih dari 1 juta varian model machine learning yang di-hosting di platform Hugging Face, baik di perangkat keras lokal maupun instance cloud. Pustaka ini banyak digunakan di lingkungan enterprise dan pipeline CI/CD untuk menguji model pra-latih dan melakukan fine-tuning dengan data proprietari.

Tiga Kecacatan Desain yang Menjadi Satu Eksploit

Para peneliti keamanan dari Pluto Security menemukan bahwa eksploitasi celah ini memanfaatkan tiga keputusan desain terpisah dalam kode yang saling melengkapi.

Pertama, saat memuat model melalui AutoModelForCausalLM.from_pretrained(), pustaka mengunduh konfigurasi model dari Hub dan menggunakan fungsi setattr untuk mem-parse setiap pasangan kunci-nilai dari file config.json. Fungsi ini tidak membedakan antara parameter yang bisa dikonfigurasi pengguna dan parameter internal yang diawali karakter underscore.

Kedua, parameter internal _attn_implementation_internal yang seharusnya tidak bisa dimanipulasi dari luar ternyata bisa diatur melalui file config.json. Parameter ini biasanya digunakan untuk mengontrol mekanisme perhatian (attention mechanism) model, seperti Flash Attention atau SDPA.

Ketiga, komponen hub_kernels.py memeriksa nilai parameter tersebut dan jika diatur ke pola yang cocok dengan dua string yang dipisahkan tanda “/”, komponen menganggapnya sebagai definisi owner/repository dari Kernels Hub. Kode kemudian mengunduh kernel dari repositori yang ditentukan dan mengeksekusinya tanpa sandbox, code signing, atau verifikasi integritas apa pun.

“Tidak ada sandboxing. Tidak ada code signing. Tidak ada verifikasi integritas. Tidak ada prompt ke pengguna,” tulis para peneliti. “Hanya import mentah dari kode Python apa pun yang ada di repositori penyerang.”

Siapa yang Paling Terancam?

Meskipun keberadaan paket kernels menjadi faktor pembatas, memiliki paket tersebut terinstal bukanlah hal yang tidak umum. Para peneliti menegaskan bahwa pengguna yang bekerja dengan inferensi berakselerasi GPU adalah target paling berharga dan paling mungkin memiliki paket ini terinstal. Platform ML enterprise dan klaster GPU umumnya menginstal semua dependensi opsional untuk memaksimalkan pemanfaatan perangkat keras.

Celah ini memengaruhi semua versi Transformers sejak 4.56.0 hingga 5.2.x. Versi perbaikan, yaitu Transformers 5.3.0, sudah dirilis sejak 3 Maret 2026, tetapi versi rentan masih terus diunduh jutaan kali setiap minggu.

Konteks Serangan Rantai Pasok AI yang Meningkat

Temuan ini bukan yang pertama kali menunjukkan kerentanan eksekusi kode jarak jauh melalui model AI yang sudah dimodifikasi secara berbahaya. Bulan lalu, model OpenAI Privacy Filter palsu yang diunggah ke Hugging Face berhasil mencapai posisi trending nomor 1 dalam 18 jam dan diunduh 244.000 kali. Model tersebut berisi malware pencuri informasi untuk Windows.

Sebelumnya, peneliti dari firma keamanan HiddenLayer juga mengungkap celah RCE di ChromaDB dan menunjukkan bagaimana eksekusi kode jarak jauh bisa dicapai dengan perubahan kecil pada file tokenizer.json.

Langkah Mitigasi yang Perlu Diambil

Organisasi yang menggunakan pustaka Transformers disarankan untuk segera melakukan upgrade ke versi 5.3.0 dan memindai semua file config.json yang sudah di-cache atau diunduh untuk mencari keberadaan parameter _attn_implementation_internal.

Para peneliti juga menyarankan agar pemuatan model dilakukan di dalam container yang di-sandbox dan terisolasi, tanpa akses ke kredensial host, akses jaringan keluar, atau izin filesystem yang luas. File konfigurasi juga harus dipindai sebelum dimuat dan diperiksa untuk field yang tidak diharapkan, termasuk yang diawali underscore. Pada intinya, organisasi harus memperlakukan API pemuatan model dan deserialisasi konfigurasi sebagai permukaan eksekusi kode, terlepas dari flag keamanan yang disediakan.***