Die Schwachstelle steckt in der weit verbreiteten HuggingFace-transformers-Bibliothek, mit der maschinelle Lernmodelle geladen und ausgeführt werden. Sie ermöglicht das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer präpariert dazu die Konfigurationsdatei eines Modells: In einem internen Feld trägt er die Kennung eines von ihm kontrollierten Repositorys im HuggingFace Hub ein. Lädt ein Opfer dieses Modell über die übliche, in der Dokumentation empfohlene Standardschnittstelle, lädt die Bibliothek aus dem Angreifer-Repository beliebigen Python-Code herunter und führt ihn mit den vollen Betriebssystemrechten des Opfers aus. Ursache sind eine ungefilterte Deserialisierung der Konfigurationsattribute, eine unzureichende Bereinigung interner Felder sowie die ungeschützte Ausführung heruntergeladener Komponenten ohne Sandbox. Besonders heikel: Der Angriff umgeht den vorgesehenen Schutzmechanismus zur Freigabe von Fremdcode, bleibt für das Opfer unsichtbar und nutzt genau den dokumentierten Normalfall aus.