研究：Hugging Face 等平台 AI 应用存严重安全风险

近日，一项针对预训练模型托管平台上「AI 应用」的系统性安全研究正式公布，被信息安全顶会 CCS 2026 接收。研究团队对 Hugging Face 等三大主流平台上超过 97 万个公开 AI 应用进行了自动化安全审计，发现其中存在大量真实可被利用的漏洞，包括凭证泄露、任意代码执行乃至嵌入后门，且部分问题源于平台层面的架构设计缺陷。

研究背景与对象

所谓 AI 应用（AI-App），是指托管在 Hugging Face 等平台上、基于预训练模型提供在线推理或微调服务的应用。这类平台大幅降低了 AI 技术的使用门槛，开发者无需自行部署模型即可对外提供服务。然而，这些应用往往由不受完全信任的第三方开发，运行环境的隔离与安全配置参差不齐，形成了此前未被系统梳理的攻击面。

为结构化地展开调查，研究者将 AI 应用的生命周期映射到 OWASP 等既有风险分类体系，归纳出五大威胁类别与十大攻击向量，覆盖从通用 Web 缺陷到高危架构问题。

核心发现：三类新型架构漏洞

研究指出，传统 Web 应用中的安全问题在 AI 应用生态中被显著放大。具体发现包括：

• 访问控制失效：部分应用未对敏感接口进行权限校验，导致未授权访问；
• 资源复用不安全：共享底层资源缺乏隔离，引发跨应用数据泄露风险；
• 输入校验不足：存在提示注入等漏洞，可被用于触发任意代码执行；
• 敏感数据暴露：包括世界可读的日志等，导致凭证被批量泄露。

尤为关键的是，研究者识别出三类内生于平台设计的新型架构漏洞，这些问题难以通过单个应用修补，必须由平台方在底层进行修复。

真实影响与规模

为量化实际危害，团队构建了名为 Insightor 的分析框架，并将其应用于超过 97 万个公开 AI 应用。结果显示：

• 数千个应用存在凭证泄露问题；
• 数百个应用包含可被利用的输入注入漏洞，能实现任意代码执行；
• 数十个应用被嵌入后门，表明已有活跃利用迹象。

研究强调，所有发现均已通过负责任披露流程通报给相关平台与开发者。

研究意义与启示

该论文是首个针对 AI 应用生态的跨平台系统性安全分析，填补了预训练模型托管平台安全研究的空白。对于平台运营者而言，文中揭示的架构级问题提示其需要重新审视资源隔离与权限模型；对于开发者而言，则应将应用部署时的最小权限原则、输入校验与日志脱敏纳入基本安全实践；对于使用方与监管者，这些数据也是评估 AI 服务供应链风险的重要参考。