Два главных репозитория искусственного интеллекта взломаны. Hugging Face, где хранится больше миллиона моделей, содержит сотни вредоносных файлов — они выполняют произвольный код сразу при загрузке. ClawHub, реестр навыков для AI-агентов OpenClaw, атаковали ещё прицельнее: из 2 857 проверенных навыков 341 оказался вредоносным.
Атака на Hugging Face использует технику под названием nullifAI. Злоумышленники прячут вредоносный код внутри файлов в формате pickle — стандартном способе упаковки ML-моделей. Чтобы обойти встроенный сканер платформы, файлы сжимаются через 7z вместо обычного ZIP. Итог: модель загружается, код запускается, атакующий получает полный доступ к машине. Компания Protect AI обнаружила около 352 000 подозрительных объектов в 51 700 моделях.
В ClawHub картина ещё хуже по масштабу угрозы. AI-агенты сами выбирают и запускают навыки из реестра — без участия человека. Скомпрометированный навык получает все разрешения агента: доступ к базам данных, API, внутренним сетям компании. 335 из 341 вредоносного навыка связаны с одной скоординированной кампанией под названием ClawHavoc. Отдельное исследование Snyk показало: 36% всех навыков для AI-агентов содержат уязвимости, а каждый пятый классифицируется как откровенно вредоносный.
Это не изолированные инциденты. В марте 2026 года был взломан пакет LiteLLM на PyPI — под угрозой оказались 500 000 API-ключей, включая ключи к моделям OpenAI и Anthropic. В апреле пакет Bitwarden CLI на npm 90 минут распространял стилер, нацеленный именно на AI-инструменты разработчика. PyTorch Lightning был скомпрометирован на 42 минуты.
Общий паттерн — скорость. Окна заражения измеряются минутами, а не днями. Разработчик, запустивший установку пакета в неудачный момент, получает вредоносную версию. Министерство обороны США в марте 2026 года официально признало AI-цепочку поставок проблемой национальной безопасности.
Проблема архитектурная. Индустрия построила инфраструктуру на принципе открытых реестров: любой может опубликовать модель, инструменты автоматически скачивают и запускают код, а культура доверия считает популярные пакеты безопасными по умолчанию. На защиту этой инфраструктуры тратится несравнимо меньше, чем на обучение самих моделей.
