Uma vulnerabilidade crítica rastreada como CVE-2026-4372 na biblioteca Hugging Face Transformers permite execução remota de código ao carregar modelos de machine learning. A falha, descoberta pela Pluto Security em junho de 2026, afeta 232 milhões de downloads e funciona mesmo com a configuração de segurança recomendada, trust_remote_code=False, ativada.
Como a falha funciona
A vulnerabilidade explora o mecanismo de carregamento de modelos do Transformers. Quando um desenvolvedor chama a função from_pretrained() para carregar um modelo, a biblioteca lê o arquivo config.json do modelo. O atacante insere um payload malicioso no campo _attn_implementation_internal desse arquivo de configuração. Ao carregar o modelo, o código malicioso é executado silenciosamente, sem nenhum aviso ou prompt ao usuário.
O que torna essa falha particularmente perigosa é que ela contorna a principal recomendação de segurança do Hugging Face. Organizações que seguiam a orientação de manter trust_remote_code=False acreditavam estar protegidas. A CVE-2026-4372 demonstrou que essa premissa era falsa — um único campo de configuração malicioso transformava um download rotineiro em comprometimento silencioso do sistema.
Versões afetadas e alcance
A falha foi introduzida na versão 4.56.0, lançada em 29 de agosto de 2025, e esteve presente em todas as versões subsequentes até o patch. Correções foram lançadas na versão 5.3.0, em 4 de março de 2026. A Pluto Security estima que as versões vulneráveis foram baixadas 232 milhões de vezes durante os seis meses em que a falha esteve ativa.
| Versão | Status | Detalhe |
|---|---|---|
| 4.56.0 a 5.2.x | Vulnerável | Requer pacote kernels instalado |
| 5.3.0+ | Corrigida | Bloqueia config values controláveis |
Transformers é um dos pacotes de IA mais utilizados no mundo, com mais de 2,2 bilhões de downloads totais, aproximadamente 146 milhões de downloads mensais e mais de 157.000 estrelas no GitHub. O Hugging Face Hub hospeda mais de um milhão de modelos. O alcance potencial da vulnerabilidade é enorme.
Impacto para organizações
Explorações bem-sucedidas podem permitir que atacantes roubem credenciais de nuvem, chaves de API, chaves SSH, configurações Kubernetes, credenciais de banco de dados, código-fonte e datasets proprietários. Ambientes de IA corporativa, pipelines automatizados de avaliação de modelos e servidores com GPU estão entre os alvos mais expostos. Não é a primeira vez que o ecossistema Hugging Face é alvo — malware no npm já havia usado a plataforma como canal de roubo de dados.
A descoberta reforça que o carregamento de modelos de IA precisa ser tratado como uma superfície de ataque tão crítica quanto a execução de software de terceiros. A facilidade com que modelos são baixados e compartilhados criou uma falsa sensação de segurança no ecossistema, assim como ocorreu com a falha CVSS 10 no Samba ou a vulnerabilidade crítica no Gogs, onde softwares amplamente usados esconderam falhas graves por meses.
O que fazer agora
Atualize a biblioteca Transformers para a versão 5.3.0 ou superior imediatamente. Audite configurações de modelos em cache e em repositórios internos, procurando pela presença do campo _attn_implementation_internal em arquivos config.json — esse é um indicador de comprometimento. Implemente verificação de integridade de modelos antes do carregamento e restrinja fontes de modelos a repositórios confiáveis. Revogue credenciais que estavam armazenadas em ambientes onde modelos não verificados foram carregados durante o período de vulnerabilidade.