Hugging Face y ClawHub comprometidos con cientos de modelos de IA maliciosos y habilidades de agentes mientras los ataques a la cadena de suministro apuntan a la infraestructura de IA.

      TL;DRHugging Face y ClawHub, los dos mayores repositorios de modelos de IA y habilidades de agentes, han sido sistemáticamente comprometidos con cientos de entradas maliciosas que roban credenciales, abren puertas traseras y secuestran agentes de IA para la minería de criptomonedas.

      Las dos cadenas de suministro de software más importantes en inteligencia artificial han sido sistemáticamente comprometidas. Hugging Face, el repositorio que alberga más de un millón de modelos de aprendizaje automático utilizados por prácticamente todas las empresas de IA en el planeta, ha sido encontrado con cientos de modelos maliciosos capaces de ejecutar código arbitrario en las máquinas de cualquiera que los descargue. ClawHub, el registro público de las habilidades de agentes de IA de OpenClaw, ha sido infiltrado por una campaña coordinada que plantó 341 habilidades maliciosas diseñadas para robar credenciales, abrir shells inversos y secuestrar agentes de IA para la minería de criptomonedas.

      Los ataques son diferentes en técnica pero idénticos en lógica. Ambos explotan la confianza implícita que los desarrolladores depositan en los repositorios compartidos. Ambos utilizan la infraestructura que la industria de IA construyó para acelerar el desarrollo como el vector para comprometerla.

      Los modelos

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora! Hugging Face ha estado al tanto de modelos maliciosos en su plataforma desde al menos 2024, cuando las firmas de seguridad JFrog y ReversingLabs identificaron de manera independiente modelos que contenían puertas traseras ocultas. El problema no se ha contenido. Ha escalado.

      Protect AI, que se asoció con Hugging Face para escanear la biblioteca de modelos de la plataforma, ha examinado más de cuatro millones de modelos e identificado aproximadamente 352,000 problemas inseguros o sospechosos en 51,700 modelos. JFrog encontró más de 100 modelos capaces de ejecutar código arbitrario. La técnica de ataque, conocida como “nullifAI”, explota el formato de serialización pickle de Python, el método estándar para empaquetar modelos de aprendizaje automático. Los atacantes incrustan código malicioso de Python al inicio del flujo de bytes pickle y comprimen el archivo usando 7z en lugar del formato ZIP predeterminado, lo que rompe la herramienta de detección PickleScan de Hugging Face.

      Las cargas útiles no son sutiles. Los investigadores de seguridad han documentado modelos que establecen shells inversos conectándose a direcciones IP codificadas, dando a los atacantes acceso directo a la máquina de cualquiera que cargue el modelo. Otros ejecutan el robo de credenciales, exfiltran variables de entorno o descargan malware secundario. Un científico de datos que descarga lo que parece ser un modelo legítimo para un proyecto de investigación o una canalización de producción está, en algunos casos, entregando el control de su máquina a un atacante.

      Hugging Face ha respondido asociándose con JFrog y Wiz para mejorar las capacidades de escaneo. La integración de JFrog ha eliminado el 96 por ciento de los falsos positivos en la detección de modelos maliciosos. Pero la arquitectura abierta de la plataforma, que es la fuente de su valor para la comunidad de IA, también es la fuente de su vulnerabilidad. Cualquiera puede subir un modelo. El escaneo detecta patrones conocidos. Los atacantes que diseñaron nullifAI construyeron su técnica específicamente para evadir el escaneo.

      Las habilidades

      ClawHub, el registro para el ecosistema de agentes de IA de OpenClaw, enfrenta un problema diferente pero relacionado. OpenClaw ha crecido hasta 3.2 millones de usuarios y ha atraído asociaciones con OpenAI, pero su registro de habilidades se ha convertido en un objetivo para los atacantes que entienden que un agente de IA que ejecuta una habilidad maliciosa tiene acceso a lo que el agente tiene acceso, lo que en entornos empresariales puede significar bases de datos, APIs, redes internas y credenciales en la nube.

      Koi Security auditó las 2,857 habilidades en ClawHub y encontró 341 entradas maliciosas. De esas, 335 se rastrearon hasta una sola operación coordinada llamada “ClawHavoc”. Por separado, la investigación ToxicSkills de Snyk examinó el ecosistema más amplio y encontró que el 36 por ciento de todas las habilidades de agentes de IA contienen fallas de seguridad, con aproximadamente 900 habilidades, aproximadamente el 20 por ciento del total, clasificadas como maliciosas. Treinta habilidades de un solo autor estaban cooptando silenciosamente agentes de IA para la minería de criptomonedas.

      Los ataques de ClawHub son particularmente peligrosos debido a la naturaleza de las arquitecturas de agentes de IA. El auge del protocolo de contexto de modelo y estándares similares en la era de los agentes ha creado una nueva categoría de cadena de suministro de software en la que los sistemas de IA seleccionan y ejecutan herramientas de registros externos de manera autónoma. Una habilidad comprometida no requiere que un humano haga clic en un enlace o abra un archivo. Requiere que un agente de IA seleccione la habilidad como parte de un flujo de trabajo, momento en el cual el código malicioso se ejecuta con los permisos del agente.

      El patrón

      Los compromisos de Hugging Face y ClawHub son la manifestación específica de IA de un patrón de ataque de cadena de suministro que ha estado acelerándose en la industria del software. En marzo de 2026, el paquete LiteLLM en PyPI fue comprometido, exponiendo potencialmente 500,000 credenciales, incluidas claves API para Meta, OpenAI y Anthropic. Meta congeló su trabajo de datos de IA después de que la violación pusiera en riesgo secretos de entrenamiento. En abril, un paquete de Bitwarden CLI en npm fue secuestrado durante 90 minutos con una carga útil diseñada específicamente para cosechar credenciales de herramientas de codificación de IA, incluidas Claude Code, Cursor, Codex CLI y Aider. Días después, el paquete PyTorch Lightning fue comprometido durante 42 minutos con una carga útil que robaba credenciales de la campaña “Mini Shai-Hulud”.

      La Comisión Europea misma fue violada después de que los atacantes envenenaran Trivy, una herramienta de escaneo de seguridad de código abierto, demostrando que incluso las herramientas diseñadas para detectar ataques de cadena de suministro pueden convertirse en vectores para ellos. El Departamento de Defensa de los Estados Unidos publicó una guía formal sobre riesgos de cadena de suministro de IA y ML en marzo de 2026, reconociendo a nivel institucional que el ecosistema de software de IA se ha convertido en una preocupación de seguridad nacional.

      El hilo común es la velocidad. El compromiso de PyTorch Lightning duró 42 minutos. El secuestro de Bitwarden CLI duró 90 minutos. La ventana de ataque de LiteLLM se estima en horas. Estas no son campañas persistentes que los defensores tienen semanas para detectar. Son inserciones breves y dirigidas que explotan los sistemas de resolución de dependencias automatizados de los que depende el desarrollo moderno de software. Un desarrollador que ejecuta una instalación de paquete en el momento equivocado descarga la versión comprometida. La ventana se cierra. El daño está hecho.

      La asimetría

      La industria de IA ha invertido cientos de miles de millones de dólares en entrenamiento de modelos, infraestructura de inferencia y desarrollo de aplicaciones. La inversión en asegurar los repositorios a través de los cuales se distribuye ese software ha sido una fracción del total. Hugging Face se ha asociado con firmas de seguridad. ClawHub ha implementado una moderación básica. Los registros de paquetes han añadido requisitos de autenticación de dos factores. Ninguna de estas medidas ha prevenido los ataques documentados anteriormente.

      Los actores estatales ya pueden producir malware impulsado por IA que evade la detección convencional, y los ataques de cadena de suministro en los repositorios de IA representan una evolución natural de esa capacidad. Los modelos y habilidades alojados en Hugging Face y ClawHub son consumidos por sistemas que toman decisiones automatizadas, procesan datos sensibles y operan con permisos elevados. Un modelo comprometido en una canalización de IA de producción no es equivalente a un virus en una computadora personal. Es una puerta trasera en un sistema de toma de decisiones automatizado en el que la organización confía precisamente porque parece ser un componente legítimo de su pila de IA.

      El problema fundamental es arquitectónico. La industria de IA construyó su infraestructura de desarrollo sobre el mismo modelo de registro abierto que ha definido el desarrollo de software durante las últimas dos décadas: repositorios centralizados donde cualquiera puede publicar, herramientas automatizadas que descargan y ejecutan código de esos repositorios, y una cultura de confianza que trata los paquetes y modelos populares como intrínsecamente seguros. La diferencia es que los modelos de IA no son solo código. Son objetos serializados que se ejecutan durante la deserialización, una propiedad que hace que los modelos basados en pickle sean inherentemente más peligrosos que los paquetes de software tradicionales, porque el código malicioso se ejecuta en el momento en que se carga el modelo, antes de que cualquier humano tenga la oportunidad de inspeccionarlo.

      La cadena