এই দুর্বলতা কীভাবে কাজ করে?

এটি Transformers লাইব্রেরির মডেল লোডিং ফিচারে কাজ করে। আক্রমণকারী একটি দূষিত AI মডেল তৈরি করে এবং সেটি লোড করার সময় ভিকটিমের মেশিনে কোড চালায়।

trust_remote_code=False কেন কাজ করে না?

এই দুর্বলতা সরাসরি সেই সুরক্ষা ব্যবস্থাকে বাইপাস করে। এটি একটি ফিচারের মাধ্যমে কাজ করে যা ব্যবহারকারীর সেটিং উপেক্ষা করে কোড চালাতে পারে।

বাংলাদেশের ডেভেলপারদের কী করা উচিত?

সবার প্রথমে Transformers লাইব্রেরি আপডেট করতে হবে। শুধুমাত্র বিশ্বস্ত সোর্স থেকে মডেল ডাউনলোড করা উচিত। অপরিচিত মডেল ব্যবহার করার আগে সেগুলো স্ক্যান করা জরুরি।

হোম/নিউজ/টুল

টুল৫ মিনিট পড়া

Hugging Face-এ বিপদ: মডেল লোড করলেই হ্যাকার আপনার কোড চালাতে পারে

Hugging Face Transformers লাইব্রেরিতে একটি ক্রিটিক্যাল RCE দুর্বলতা আবিষ্কৃত হয়েছে। এটি trust_remote_code=False সুরক্ষা ব্যবস্থাকে বাইপাস করে এবং মডেল লোড করার সময় আক্রমণকারীর কোড চালানোর সুযোগ দেয়।

সম্পাদকীয় টিম

স্টাফ রিপোর্টার · গতকাল · সূত্র: SiliconAngle AI

Hugging Face-এ বিপদ: মডেল লোড করলেই হ্যাকার আপনার কোড চালাতে পারে

Pluto Security Inc. আজ Hugging Face Transformers লাইব্রেরিতে একটি গুরুতর রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা প্রকাশ করেছে। এই ত্রুটির মাধ্যমে আক্রমণকারী নিয়ন্ত্রিত AI মডেল ভিকটিমের মেশিনে ইচ্ছামতো কোড চালাতে পারে। এটি একটি সাধারণ মডেল-লোডিং কমান্ডের মাধ্যমেই ঘটে, এমনকি যেসব প্রতিষ্ঠান Hugging Face-এর সুপারিশকৃত নিরাপত্তা নির্দেশিকা মেনে চলে তাদের ক্ষেত্রেও।

CVE-2026-4372 ট্র্যাকিং আইডি পাওয়া এই ত্রুটিটি trust_remote_code=False সেটিংকে বাইপাস করে। এই সেটিংটি সাধারণত ব্যবহারকারীদের অনিরাপদ কোড চালানো থেকে রক্ষা করে। কিন্তু এই দুর্বলতা সেই সুরক্ষা ব্যবস্থাকে অকেজো করে দেয়।

এই দুর্বলতা Transformers লাইব্রেরির একটি ফিচারকে টার্গেট করে। ফিচারটি ব্যবহারকারীদের প্রি-ট্রেইনড মডেল লোড করার সময় কাস্টম কোড চালানোর অনুমতি দেয়। কিন্তু এই ফিচারটি সুরক্ষিত না থাকায় আক্রমণকারী দূষিত কোড সংযুক্ত করতে পারে।

Hugging Face Transformers বর্তমানে AI গবেষণা ও ডেভেলপমেন্টে সবচেয়ে জনপ্রিয় লাইব্রেরিগুলোর একটি। হাজার হাজার কোম্পানি এবং ডেভেলপার এই লাইব্রেরি ব্যবহার করে NLP মডেল তৈরি ও ডিপ্লয় করে। এই দুর্বলতা তাদের সবার জন্য হুমকি তৈরি করে।

বাংলাদেশের প্রসঙ্গে, এই দুর্বলতা বিশেষভাবে গুরুত্বপূর্ণ। বাংলাদেশে AI ও মেশিন লার্নিং নিয়ে কাজ করা ডেভেলপার, ফ্রিল্যান্সার এবং শিক্ষার্থীরা Hugging Face Transformers ব্যাপকভাবে ব্যবহার করে। তারা যদি কোনো দূষিত মডেল লোড করে তাহলে তাদের সিস্টেম হ্যাক হওয়ার সম্ভাবনা থাকে।

বাংলাদেশের ফ্রিল্যান্সাররা আন্তর্জাতিক প্ল্যাটফর্মে AI প্রকল্প নিয়ে কাজ করে। তারা অজান্তেই কোনো ক্ষতিকর মডেল ডাউনলোড করে ফেলতে পারে। এটি তাদের ক্লায়েন্টের ডেটা এবং নিজস্ব সিস্টেমের নিরাপত্তা ঝুঁকিতে ফেলতে পারে।

Pluto Security এই দুর্বলতা সম্পর্কে Hugging Face কর্তৃপক্ষকে আগেই জানিয়েছে। Hugging Face এখন একটি প্যাচ তৈরি করেছে। ব্যবহারকারীদের দ্রুত তাদের Transformers লাইব্রেরি আপডেট করার পরামর্শ দেওয়া হচ্ছে।

সবচেয়ে নিরাপদ উপায় হলো শুধুমাত্র বিশ্বস্ত সোর্স থেকে মডেল লোড করা। অপরিচিত বা অনিরীক্ষিত মডেল ব্যবহার করা থেকে বিরত থাকা উচিত। নিরাপত্তা বিশেষজ্ঞরা বলছেন, এই ধরনের দুর্বলতা ভবিষ্যতে আরও বেড়ে যাবে।

AI প্রযুক্তি যত দ্রুত উন্নত হচ্ছে, নিরাপত্তা ঝুঁকিও তত বাড়ছে। ডেভেলপার এবং প্রতিষ্ঠানগুলোকে নিয়মিত সফটওয়্যার আপডেট করতে হবে। নিরাপত্তা সচেতনতা বাড়ানো এখন সময়ের দাবি।

Hugging Face-এ বিপদ: মডেল লোড করলেই হ্যাকার আপনার কোড চালাতে পারে

আরও পড়ুন

AI নিউজ সরাসরি ইমেইলে পান

মন্তব্য০