「OpenAI公式」だと思ったら…… 24万DLを突破した“人気AIコード”の正体：バズったOSSに潜む死角

OpenAI風の人気AIリポジトリに、なぜ開発者は群がってしまったのか――。18時間足らずで約24万4000件のダウンロードを記録したコードの裏に仕込まれたわなの中身とは。

[田渕聖人，＠IT]

　セキュリティ企業のHiddenLayerは2026年5月7日（米国時間）、AIモデル共有基盤の「Hugging Face」で公開されていた人気リポジトリから、情報窃取型マルウェア（インフォスティーラー）が配布されていたと公表した。

　HiddenLayerは、問題のリポジトリが18時間足らずで約24万4000件のダウンロードと667件の「Like」を獲得したと説明している。しかしこれらの数値は「人為的につり上げられた可能性が高い」と分析しており、Likeを付けたアカウントには自動生成されたような命名規則が多く見られたという。

• GitHub侵害で銀行連携停止　マネーフォワード事案が突き付ける開発リスク（＠IT）
• Linux主要配布版にroot権限奪取の恐れ　ゼロデイ脆弱性「Dirty Frag」公開（＠IT）

作られた“トレンド1位”の裏に潜むわな

　問題のリポジトリは「Open-OSS/privacy-filter」だ。OpenAIが公開している正規リポジトリ「openai/privacy-filter」を模倣した“タイポスクワッティング”型の偽装だった。READMEやモデル説明文もほぼそのままコピーされており、一見しただけでは正規版と見分けにくい状態だったという。

　HiddenLayerによると、リポジトリ内には「loader.py」と呼ばれるPythonスクリプトが含まれていた。このスクリプトはダミーの学習処理を実行して正規のAIモデルのように見せかけた後、外部サイトからPowerShellコマンドを取得し、「Windows」端末上で実行する仕組みになっていた。さらに別のバッチファイルをダウンロードし、最終的にRust製のインフォスティーラーを展開していたという。

　このマルウェアはWebブラウザに保存された認証情報やCookie、「Discord」のトークン、SSH鍵、VPN／FTP設定ファイル、暗号資産ウォレット関連データなどを窃取する機能を備えていた。仮想環境やデバッガーを検知するアンチVM機能や、Windowsの防御機構を回避するコードも確認された。

　同社は関連調査の中で、別アカウント配下にも同様のローダーを含む複数の不正リポジトリを確認したとしている。攻撃インフラの一部は、過去にnpmパッケージを悪用したマルウェア配布キャンペーンとの関連も疑われている。

• もう「CVSSで重大→修正急務」は限界　「即対応」脆弱性を9割減らすGitHub推奨の優先順位付け基準（＠IT）

　報告を受けたHugging Faceは当該リポジトリを削除した。HiddenLayerは、既に「start.bat」や「loader.py」をWindows環境で実行した場合、端末が侵害された前提で調査や認証情報の変更を進めるべきだと警告している。

　生成AIブームを背景に、開発者がHugging Faceなどのモデル共有基盤からコードやモデルを直接取得するケースは急増している。一方で、人気ランキングやダウンロード数を悪用して信頼性を演出する攻撃も現実化してきた。今回の事例は、OSSのサプライチェーン攻撃がAIモデル／学習基盤の領域にも本格的に広がり始めていることを示した格好だ。

• LinuxカーネルのゼロデイをAIが発見　悪用で簡単にroot権限奪取が可能に（＠IT）