币圈界报道：

伪造模型借势上位，真实项目遭恶意复制

四月底，OpenAI推出轻量级开源模型隐私过滤器，用于自动识别并屏蔽文本中的个人身份信息。该模型以Apache 2.0许可证发布于Hugging Face平台，引发技术社区广泛关注。然而，其影响力很快被不法分子利用。

仿冒账户制造假象，诱导开发者下载

数日内，一个名为'Open-OSS'的虚假账号发布与原始项目几乎一致的代码库。其说明文档照搬官方内容，仅新增运行指引：Windows用户需执行start.bat，Linux与Mac用户则运行loader.py脚本。

自动化操控使伪造项目冲上榜首

短短18小时内，该伪造代码库跃居Hugging Face趋势榜首位，累计下载量达24.4万次，点赞数达667。据人工智能安全公司HiddenLayer调查，其中657个点赞来自采用固定命名模式的自动化机器人账户。

下载量数据亦极可能经过人为操控。攻击者通过制造虚假热度，使恶意项目看似可信。其加载脚本模拟正常训练流程，展示进度条、合成数据集和虚构类别名称，营造出合法的人工智能工具假象。

后台静默执行，指令远程更新

脚本启动后，会自动禁用系统安全检测机制，并从公开的JSON粘贴站点获取加密指令。此设计使攻击者无需修改代码库即可动态调整恶意行为。

指令随后发送至隐藏的PowerShell进程，对Windows用户完全不可见。该进程将连接至伪装成区块链分析接口的域名，下载第二阶段脚本，进而部署使用Rust编写的定制化信息窃取程序。

隐蔽持久化，清除痕迹不留余地

恶意程序具备多重防护机制：自动加入Windows Defender排除列表，以SYSTEM权限通过计划任务启动，任务完成后立即自我删除，实现全程无痕运行。

其功能覆盖全面：窃取Chrome与Firefox浏览器中保存的密码、会话凭证、浏览记录及加密密钥；针对Discord账户、加密货币钱包助记词、SSH密钥与FTP登录信息进行提取；同时截取全屏画面。所有数据压缩后上传至攻击者控制服务器。

多项目协同攻击，形成规模化陷阱

此次事件并非孤立。HiddenLayer在另一账户'anthfu'中发现六个相似代码库，均发布于四月下旬，使用同一恶意加载器并指向相同指令服务器。这些项目伪装为Qwen3、DeepSeek、Bonsai等知名模型，专门诱骗人工智能开发人员。

相关域名api.eth-fastscan.org还托管着另一类信标样本，研究人员认为两次活动存在潜在关联，但共用基础设施未必代表同一攻击组织。

开发者生态面临新型供应链威胁

这是一起典型的针对人工智能开发者的供应链攻击案例。攻击者无需突破核心平台，仅需发布高仿真伪造项目，借助机器人操纵算法热度，即可诱导用户主动下载并执行恶意代码。

类似手法曾在2024年袭击Lottie Player JavaScript库，导致某用户损失超70万美元比特币。若您曾克隆过Open-OSS/privacy-filter项目并在Windows设备上运行任何文件，应视该设备为已失陷，直至完成彻底清理前禁止登录任何账户。

应对策略与系统修复建议

完成系统清理后，须立即更换所有浏览器存储的登录凭据，包括密码、会话Cookie及OAuth令牌。所有加密资产应转移至在全新干净设备生成的钱包中，原钱包助记词视为已泄露。

鉴于Discord账户信息也可能被窃，且平台自动化程度高，建议立即终止所有活跃会话并重置密码。该设备上存储的所有SSH密钥与FTP凭证均应视为失效。

目前相关代码库已被下架。Hugging Face尚未公布是否将对热门项目加强审核。截至目前，确认存在七个恶意代码库，尚有未知数量的同类威胁未被发现或已移除。