Hugging Face上一个冒充OpenAI隐私过滤器模型的恶意仓库在18小时内登上热榜第一，累计约24.4万次下载和667次点赞后被删除。该仓库由名为'Open-OSS'的虚假账户发布，包含针对Windows机器的六阶段信息窃取程序。恶意软件盗取浏览器密码、Discord令牌、加密货币钱包密钥、SSH凭据等，并将数据外传至攻击者控制的服务器。AI安全公司HiddenLayer识别了该活动，并指出667次点赞中有657次来自机器人账户，表明存在人为制造的社会证明。此次攻击是针对AI开发者供应链更广泛入侵的一部分，在另一个'anthfu'账户下还发现了六个其他恶意仓库。下载并运行了仓库中任何文件的用户应将其设备视为完全受损，立即更改所有存储凭据并转移加密资金。

关键事实

• 伪造OpenAI隐私过滤器的仓库18小时内登上Hugging Face热榜第一。
• 恶意软件为六阶段窃密程序，目标包括浏览器密码、加密货币密钥等。
• 667次点赞中657次来自机器人账户，显示伪造社会证明。
• 在'anthfu'账户下发现六个额外恶意仓库，针对其他AI模型。
• 运行了恶意软件的用户应将设备视为完全受损并轮换所有机密。