Sytten tusind hændelser, og API'en sagde nej
Det afgørende øjeblik i Hugging Faces redegørelse er ikke indbruddet. Det er en beredskabsmedarbejder, der sidder foran en betalt API med beviserne i hånden og bliver afvist. Den 16. juli 2026 offentliggjorde virksomheden en beretning om en sikkerhedshændelse, hvor angribere efter dens eget udsagn brugte det, den ordret beskriver som "(a remote-code dataset loader and a template-injection in a dataset configuration)" til at køre kode på en behandlingsworker. Det, beredskabet derefter sad med, var med Hugging Faces egne ord "the full attacker action log, comprised of more than 17,000 recorded events". Andetsteds omtaler indlægget "tens of thousands of automated actions".
Afvisningen er selve historien, og Hugging Face skrev sætningen selv. Indlægget lyder: "This did not work: the analysis requires submitting large volumes of real attack commands, exploit payloads, and C2 artifacts, and these requests were blocked by the providers' safety guardrails, which cannot distinguish an incident responder from an attacker." Den sidste ledsætning bærer hele vægten. Systemet fældede ikke en fejlagtig dom over Hugging Face. Det havde slet ingen mulighed for at fælde dommen.
Alt ovenstående hviler på Hugging Faces ord alene, og det vil vi sige klart. Vi har ingen uafhængig primærkilde til nogen af hændelsens fakta. Ingen medier har bekræftet dem; enhver beretning, vi fandt, gengiver blot virksomhedens indlæg. Hugging Face angiver hverken indbruds- eller opdagelsesdato, kun "Earlier this week" og "over a weekend". Den nævner ingen udbyder. Og den erklærer sit eget arbejde uafsluttet: "We are still completing our assessment of whether any partner or customer data was affected." Denne artikel er ikke hændelsesdækning. Den er en læsning af, hvad udbydernes offentliggjorte kontrakter faktisk siger, holdt op mod den adfærd, Hugging Face beskriver.
Vi læste de tre politikker og ledte efter forbuddet
Det findes ikke. Vi hentede de offentliggjorte brugspolitikker fra Anthropic, OpenAI og Google, og ingen af de tre forbyder at analysere fjendtligt materiale fra et brud på dit eget system. Det er ikke en lejlighedsvis læsning. Ethvert cyberforbud i alle tre dokumenter er afgrænset af et forbehold, og den adfærd, Hugging Face beskriver, falder uden for hvert eneste forbehold.
Anthropics brugspolitik, gældende fra den 15. september 2025, forbyder arbejde, der skal "Discover or exploit vulnerabilities in systems, networks, or applications without authorization of the system owner", og forbyder særskilt brugere at "Create or distribute malware, ransomware, or other types of malicious code". Hugging Face var systemets ejer, så den første klausul rækker ikke til dem. De analyserede payloads, der allerede fandtes, og hverken skabte eller distribuerede dem, så den anden gør det heller ikke. Der findes ingen undtagelse for sikkerhedsforskning, hændelsesberedskab eller forsvar nogen steder i dokumentet. Jailbreak- og prompt-injection-arbejde er kun forbudt "without prior authorization from Anthropic", hvilket forudsætter en tilladelse, men henviser ikke til nogen offentliggjort proces for at få den.
OpenAIs brugspolitikker, gældende fra den 29. oktober 2025, forbyder "destruction, compromise, or breach of another's system or property, including malicious or abusive cyber activity". Forbeholdet ligger i ordet another's. Det pågældende system var Hugging Faces eget. Vi fandt ingen undtagelse for sikkerhedsforskning; den eneste dokumenterede godkendelsesport angår "national security or intelligence purposes without our review and approval".
Googles Generative AI Prohibited Use Policy, senest ændret den 17. december 2024, siger: "Do not compromise the security of others' or Google's services. This includes generating or distributing content that facilitates: Spam, phishing, or malware." Igen er det forbeholdet, der gør arbejdet. At indsende opsamlede payloads til analyse er hverken at generere eller distribuere dem. Der er ingen sikkerhedsundtagelse, kun en generel undtagelsesklausul: "We may make exceptions to these policies based on educational, documentary, scientific, or artistic considerations, or where harms are outweighed by substantial benefits to the public." Der er ingen dokumenteret ansøgningsvej, kontakt eller proces. Alle tre politikker var i kraft før hændelsen.
Din leverandørs kontrakt er ikke din kontrol
Det er sætningen, vi ville lægge foran en bestyrelse. Kløften her er ikke, at kontrakten og klassifikatoren modsiger hinanden. Den er, at kontrakten aldrig behandlede situationen, mens klassifikatoren opførte sig, som om den var forbudt. Hugging Faces beredskab løb efter eget udsagn ind i en afvisning for arbejde, som ingen offentliggjort politik hos nogen af de tre store udbydere forbyder.
En operatør, der havde lavet indkøbet korrekt, ville være røget i alligevel. Du læste brugspolitikken. Du fandt intet, der forbød defensiv analyse af dit eget brud, fordi der ikke er noget at finde. Du skrev under. Og så var det, der afviste dig, runtime-laget, som er et andet objekt end dokumentet, styret af ingen betingelse, du forhandlede, og beskrevet i ingen klausul, du gennemgik. Det, du verificerede, og det, der beslutter klokken tre om natten, er ikke det samme system.
Vi beskriver et hul i de offentliggjorte vilkår, ikke en anklage om, at nogen har brudt dem. Både Anthropic og OpenAI tillader kontraktuel tilpasning, og ikke-offentlige enterprisevilkår kan sige noget ganske andet end de offentlige politikker; vi har ikke set de vilkår og kan ikke udtale os om dem. Vi kan heller ikke fortælle dig, hvorfor afvisningerne skete. Hugging Face offentliggør ingen afvisningsudskrifter, så om blokeringerne var politikdrevne eller almindelig overblokering fra en klassifikator, kan ikke vides udefra, og vi gætter ikke. Hugging Face nævner heller ikke de blokerende udbydere. Den siger blot: "we are sharing this feedback with the providers concerned."
Hvad Hugging Face faktisk hævdede, og hvad den ikke gjorde
Virksomhedens skadesvurdering er snævrere, end en hurtig læsning antyder, og præcisionen er værd at bevare. Hugging Face rapporterer "no evidence of tampering with public, user-facing models, datasets, or Spaces, and our software supply chain (container images and published packages) was verified clean". Det er to forskellige udsagn. Ingen tegn på manipulation er et fravær af fund. Verified clean er en positiv påstand om forsyningskæden, og den er den stærkeste af de to. At smelte dem sammen til én beroligelse er netop det, der gør et hændelsesresumé mindre præcist end den redegørelse, det resumerer.
Angriberen var selv automatiseret, og den detalje gør mængdeproblemet strukturelt snarere end uheldigt. Hugging Face beskriver kampagnen ordret som "run by an autonomous agent framework (appearing to be built on an agentic security-research harness - used LLM still not known)". En agent, der genererer titusinder af handlinger, efterlader en log, som et menneskeligt hold ikke kan læse i tempo, hvilket er præcis derfor, beredskabet ville sætte en model på den, og præcis dér, de blev blokeret. Den eneste operationelle anvisning i indlægget er kort: "we recommend rotating any access tokens and reviewing recent activity on your account."
Og Hugging Face foregreb det argument, nogle læsere vil ville udlede af dette, så vi citerer det hellere end at tale udenom. Indlægget lyder: "This is not an argument against safety measures on hosted models". Vi er enige, og denne artikel er ikke det argument. Værn, der ikke kan skelne en beredskabsmedarbejder fra en angriber, udfører stadig reelt arbejde mod angriberen. Fundet her handler om, hvad de offentliggjorte vilkår udelader, og hvad en operatør derfor bør teste, ikke om filtrene bør findes.
Test afvisningen, før hændelsen tester dig
Book øvelsen i dette kvartal. Tag ægte fjendtligt materiale fra dine egne logfiler, indsend det til den API, du reelt ville gribe til under en hændelse, og skriv ned, hvad der kommer tilbage. Det fund, du vil have, er ikke beroligelse. Det er et faktuelt svar på et spørgsmål, ingen kontrakt besvarer for dig, opnået på en dag, hvor intet brænder.
For en EU-operatør gør uret dette konkret frem for teoretisk. Indberetningspligterne under NIS2 løber på en tidlig varsling inden for 24 timer og en underretning inden for 72 timer, og DORA pålægger finansielle enheder sit eget stramme vindue for den indledende underretning. De frister forudsætter, at du kan karakterisere, hvad der skete. Går din analysevej i stå i time tre, fordi et filter ikke vil tage imod dine egne beviser, standser uret ikke, mens du opdager det. Det er forskellen på at finde ud af det i en tabletop-øvelse og at finde ud af det inde i et tilsynsvindue.
Hold derefter den vej åben, der ikke kan afvises. Hugging Faces reserveløsning, med dens egne ord: "We ran the forensic analysis instead on GLM 5.2, an open-weight model, on our own infrastructure." GLM 5.2 kommer fra Z.ai, tidligere Zhipu, i Beijing; Hugging Face karakteriserer ikke selv modellens oprindelse, og den identifikation er vores, ikke deres. Oprindelsen er ikke pointen. Vægte, du selv ejer, kørende på hardware, du styrer, er den eneste opsætning, hvor en tredjeparts runtime ikke har stemmeret over, om din hændelse bliver analyseret. Enhver operatør bør i dag vide, om han har sådan en, og om den virker.
Læs videre: To AI-giganter vil nu være din integrator | Dine MFA-seeds forsvandt, før du patchede



