Hugging Face touché par une intrusion pilotée par IA
Hugging Face révèle une intrusion menée par des agents IA autonomes ayant ciblé ses traitements de datasets et plusieurs clusters internes.
Publié le par Emmanuel LASTRAMis à jour le 1 min de lecture

Hugging Face, plateforme spécialisée dans l’hébergement et le partage de modèles, de jeux de données et d’applications d’intelligence artificielle, a révélé le 16 juillet 2026 qu’une partie de son infrastructure de production avait été victime d’une intrusion. Dans son compte rendu de l’incident, l’entreprise explique que l’attaque a été menée de bout en bout par un système d’agents IA autonomes. Le point de départ : un jeu de données malveillant exploitant deux voies d’exécution de code dans la chaîne de traitement des datasets. L’acteur a ensuite obtenu un accès aux nœuds, récupéré des identifiants cloud et cluster, puis progressé dans plusieurs clusters internes.
L’incident revêt une dimension presque ironique : une plateforme au cœur de l’écosystème de l’intelligence artificielle a elle-même été ciblée par une attaque largement automatisée à l’aide d’agents IA. Hugging Face a identifié un accès non autorisé à un nombre limité de jeux de données internes et à plusieurs identifiants utilisés par ses services. L’entreprise n’a toutefois trouvé aucune preuve d’altération des modèles, datasets ou Spaces publics, ni de compromission de sa chaîne d’approvisionnement logicielle. L’analyse de plus de 17 000 événements enregistrés a notamment été réalisée avec le modèle open weight GLM 5.2, exécuté sur sa propre infrastructure.
Les vulnérabilités initialement exploitées ont été corrigées, les nœuds compromis reconstruits et les identifiants concernés révoqués ou renouvelés. Hugging Face a également lancé une rotation préventive plus large de ses secrets. Par précaution, la plateforme recommande à l’ensemble de sa communauté de renouveler ses jetons d’accès et de vérifier l’activité récente de son compte.