Sjuttontusen händelser, och API:et sade nej

Det avgörande ögonblicket i Hugging Faces redogörelse är inte intrånget. Det är en incidenthanterare som sitter framför ett betalt API med bevisen i handen och blir avvisad. Den 16 juli 2026 publicerade företaget en redogörelse för en säkerhetsincident där angripare enligt företaget använde det som ordagrant beskrivs som "(a remote-code dataset loader and a template-injection in a dataset configuration)" för att köra kod på en bearbetningsworker. Det teamet därefter satt med var, med Hugging Faces egna ord, "the full attacker action log, comprised of more than 17,000 recorded events". På annan plats talar inlägget om "tens of thousands of automated actions".

Avslaget är själva historien, och Hugging Face skrev meningen själv. Inlägget slår fast: "This did not work: the analysis requires submitting large volumes of real attack commands, exploit payloads, and C2 artifacts, and these requests were blocked by the providers' safety guardrails, which cannot distinguish an incident responder from an attacker." Den sista bisatsen bär hela tyngden. Systemet fällde inte ett felaktigt omdöme om Hugging Face. Det hade ingen möjlighet alls att fälla omdömet.

Allt ovanstående vilar enbart på Hugging Faces ord, och det vill vi säga rakt ut. Vi har ingen oberoende primärkälla för någon av incidentens sakuppgifter. Ingen redaktion har bekräftat dem; varje redogörelse vi hittat återger bara företagets inlägg. Hugging Face anger varken intrångsdatum eller upptäcktsdatum, bara "Earlier this week" och "over a weekend". Det namnger ingen leverantör. Och det förklarar sitt eget arbete oavslutat: "We are still completing our assessment of whether any partner or customer data was affected." Den här artikeln är ingen incidentrapportering. Den är en läsning av vad leverantörernas publicerade avtal faktiskt säger, ställd mot det beteende Hugging Face beskriver.

Vi läste de tre policyerna och letade efter förbudet

Det finns inget. Vi hämtade de publicerade användarpolicyerna från Anthropic, OpenAI och Google, och ingen av de tre förbjuder analys av fientligt material från ett intrång i ditt eget system. Det är ingen tillfällighetsläsning. Varje cyberförbud i alla tre dokumenten avgränsas av ett förbehåll, och det beteende Hugging Face beskriver faller utanför varje förbehåll.

Anthropics användarpolicy, gällande från den 15 september 2025, förbjuder arbete som ska "Discover or exploit vulnerabilities in systems, networks, or applications without authorization of the system owner", och förbjuder separat användare att "Create or distribute malware, ransomware, or other types of malicious code". Hugging Face var systemets ägare, så den första klausulen når dem inte. De analyserade payloads som redan fanns, de varken skapade eller spred dem, så den andra gör det inte heller. Det finns inget undantag för säkerhetsforskning, incidenthantering eller försvar någonstans i dokumentet. Jailbreak- och prompt injection-arbete förbjuds endast "without prior authorization from Anthropic", vilket förutsätter ett tillstånd men inte hänvisar till någon publicerad process för att få det.

OpenAIs användarpolicyer, gällande från den 29 oktober 2025, förbjuder "destruction, compromise, or breach of another's system or property, including malicious or abusive cyber activity". Förbehållet ligger i ordet another's. Systemet i fråga var Hugging Faces eget. Vi fann inget undantag för säkerhetsforskning; den enda dokumenterade granskningsgrinden gäller "national security or intelligence purposes without our review and approval".

Googles Generative AI Prohibited Use Policy, senast ändrad den 17 december 2024, säger: "Do not compromise the security of others' or Google's services. This includes generating or distributing content that facilitates: Spam, phishing, or malware." Även här gör förbehållet jobbet. Att skicka in tillvaratagna payloads för analys är varken att generera eller att sprida dem. Det finns inget säkerhetsundantag, bara en allmän undantagsklausul: "We may make exceptions to these policies based on educational, documentary, scientific, or artistic considerations, or where harms are outweighed by substantial benefits to the public." Ingen ansökningsväg, kontakt eller process finns dokumenterad. Alla tre policyerna gällde före incidenten.

Din leverantörs avtal är inte din kontroll

Det är meningen vi skulle lägga fram för en styrelse. Glappet här är inte att avtalet och klassificeraren säger emot varandra. Det är att avtalet aldrig behandlade situationen, medan klassificeraren betedde sig som om den vore förbjuden. Hugging Faces incidentteam gick enligt egen utsago in i ett avslag för arbete som ingen publicerad policy hos någon av de tre stora leverantörerna förbjuder.

En operatör som skött upphandlingen korrekt hade åkt dit ändå. Du läste användarpolicyn. Du fann inget som förbjöd defensiv analys av ditt eget intrång, eftersom det inte finns något att finna. Du skrev under. Och sedan var det som avvisade dig körmiljön, ett annat objekt än dokumentet, styrt av inget villkor du förhandlat och beskrivet i ingen klausul du granskat. Det du verifierade och det som beslutar klockan tre på natten är inte samma system.

Vi beskriver en lucka i de publicerade villkoren, vi anklagar ingen för att ha brutit mot dem. Både Anthropic och OpenAI tillåter avtalsanpassning, och icke offentliga företagsvillkor kan säga något helt annat än de publika policyerna; vi har inte sett de villkoren och kan inte uttala oss om dem. Vi kan inte heller berätta varför avslagen inträffade. Hugging Face publicerar inga avslagsutskrifter, så huruvida blockeringarna var policystyrda eller vanlig överblockering från en klassificerare går inte att veta utifrån, och vi gissar inte. Hugging Face namnger inte heller de blockerande leverantörerna. Det säger bara: "we are sharing this feedback with the providers concerned."

Vad Hugging Face faktiskt hävdade, och vad det inte gjorde

Företagets skadebedömning är snävare än en snabb läsning antyder, och precisionen är värd att bevara. Hugging Face rapporterar "no evidence of tampering with public, user-facing models, datasets, or Spaces, and our software supply chain (container images and published packages) was verified clean". Det är två skilda påståenden. Inga tecken på manipulation är en frånvaro av fynd. Verified clean är ett positivt påstående om leveranskedjan, och det är det starkare av de två. Att smälta ihop dem till en enda försäkran är precis det som gör en incidentsammanfattning mindre exakt än den redogörelse den sammanfattar.

Angriparen var själv automatiserad, och den detaljen gör volymproblemet strukturellt snarare än otursamt. Hugging Face beskriver kampanjen ordagrant som "run by an autonomous agent framework (appearing to be built on an agentic security-research harness - used LLM still not known)". En agent som genererar tiotusentals åtgärder lämnar en logg som ett mänskligt team inte hinner läsa, vilket är precis därför teamet ville sätta en modell på den, och precis där de blockerades. Den enda operativa anvisningen i inlägget är kort: "we recommend rotating any access tokens and reviewing recent activity on your account."

Och Hugging Face föregrep det argument vissa läsare vill dra av detta, så vi citerar det hellre än talar runt det. Inlägget slår fast: "This is not an argument against safety measures on hosted models". Vi håller med, och den här artikeln är inte det argumentet. Skydd som inte kan skilja en incidenthanterare från en angripare gör fortfarande verkligt arbete mot angriparen. Fyndet här gäller vad de publicerade villkoren utelämnar och vad en operatör därför bör testa, inte om filtren bör finnas.

Testa avslaget innan incidenten testar dig

Boka övningen detta kvartal. Ta verkligt fientligt material ur dina egna loggar, skicka in det till det API du faktiskt skulle gripa efter under en incident, och skriv ned vad som kommer tillbaka. Fyndet du vill ha är ingen försäkran. Det är ett sakligt svar på en fråga som inget avtal besvarar åt dig, framtaget en dag då inget brinner.

För en EU-operatör gör klockan detta konkret snarare än teoretiskt. Rapporteringsplikterna enligt NIS2 löper på en tidig varning inom 24 timmar och en underrättelse inom 72 timmar, och DORA lägger ett eget snävt fönster för den inledande underrättelsen på finansiella entiteter. De fristerna förutsätter att du kan beskriva vad som hänt. Om din analysväg kör fast i timme tre för att ett filter inte tar emot dina egna bevis, stannar inte klockan medan du upptäcker det. Det är skillnaden mellan att få veta i en tabletop-övning och att få veta inuti ett tillsynsfönster.

Håll därefter vägen öppen som inte kan nekas. Hugging Faces reservlösning, med företagets egna ord: "We ran the forensic analysis instead on GLM 5.2, an open-weight model, on our own infrastructure." GLM 5.2 kommer från Z.ai, tidigare Zhipu, i Peking; Hugging Face karakteriserar inte själv modellens ursprung, och den identifieringen är vår, inte deras. Ursprunget är inte poängen. Vikter du äger, körande på hårdvara du styr, är den enda konfiguration där en tredje parts körmiljö inte har rösträtt över om din incident analyseras. Varje operatör bör i dag veta om hen har en sådan och om den fungerar.