Hugging Face beschreibt den Einstieg in seiner Offenlegung so: „A malicious dataset abused two code-execution paths in our dataset processing (a remote-code dataset loader and a template-injection in a dataset configuration).“ Von diesem Punkt aus eskalierte der Angreifer auf Node-Ebene und gelangte an Cloud-Zugangsdaten; in der Folge bewegte er sich seitlich durch mehrere interne Cluster. Erkannt wurde der Vorfall in der Woche vor dem 16. Juli 2026, die laterale Bewegung fand laut Darstellung über ein Wochenende statt.
Zum Umfang nennt Hugging Face „unauthorized access to a limited set of internal datasets and to several credentials“. Zugleich hält das Unternehmen fest, es gebe „no evidence of tampering with public, user-facing models, datasets, or Spaces“; die Lieferkette sei als sauber verifiziert worden. Ob Partner- oder Kundendaten betroffen sind, war zum Zeitpunkt der Offenlegung noch nicht abschließend bewertet: „We are still completing our assessment of whether any partner or customer data was affected, and we will contact any affected parties directly as required.“ Konkrete Nutzerzahlen nennt die Offenlegung nicht.
Der auffälligste Befund betrifft die Art der Ausführung. Die Angriffs-Infrastruktur führte laut Hugging Face „many thousands of individual actions across a swarm of short-lived sandboxes“ aus; für die Analyse wertete das Unternehmen über 17.000 protokollierte Ereignisse aus dem Angreifer-Log aus. Das System beschreibt Hugging Face als autonomes Agenten-Framework, das auf einem agentischen Security-Research-Harness zu beruhen scheint. Welches Basismodell dahinter steckte, konnte nicht identifiziert werden – die Zuschreibung bleibt insoweit offen.
Als Gegenmaßnahmen nennt Hugging Face, die Code-Ausführungspfade geschlossen, Zugangsdaten rotiert und betroffene Cluster neu aufgebaut zu haben; Erkennung und Alarmierung wurden verbessert. Das Unternehmen arbeitet mit forensischen Spezialisten zusammen und hat Anzeige bei den Strafverfolgungsbehörden erstattet.
Einordnung zur Beleglage: Sämtliche Angaben stammen aus der Selbstoffenlegung des betroffenen Unternehmens und sind unabhängig nicht überprüft – das gilt für den Umfang ebenso wie für die Aussage, dass öffentliche Artefakte unangetastet blieben. Eine forensische Bestätigung durch Dritte liegt bislang nicht vor.