Articlehuggingface.co·2025년 2월 4일·0

Hugging Face and JFrog partner to make AI Security more transparent

Quick Summary

Hugging Face는 JFrog 스캐너를 Hub에 통합해 모델 파일 속 코드의 악성 사용 가능성을 더 깊게 분석하고, ML 커뮤니티의 모델 공유 보안을 강화한다고 발표했다.

Hugging Face and JFrog partner to make AI Security more transparent 관련 대표 이미지

🖼️ 인포그래픽

Hugging Face and JFrog partner to make AI Security more transparent 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Hugging Face and JFrog partner to make AI Security more transparent 내용을 설명하는 본문 이미지

💡 한 줄 요약

Hugging Face는 JFrog 스캐너를 Hub에 통합해 모델 파일 속 코드의 악성 사용 가능성을 더 깊게 분석하고, ML 커뮤니티의 모델 공유 보안을 강화한다고 발표했다.

📌 핵심 요약

  • Hugging Face는 JFrog와 협력해 Hugging Face Hub의 보안 스캐너 제품군에 JFrog 스캐너를 추가한다고 밝혔다.
  • 기존 picklescan은 모듈 이름 기반 패턴 매칭을 수행하기 때문에, 모델 가중치 안의 코드가 실제로 악성인지 항상 판단하기 어렵다는 한계가 있었다.
  • JFrog 스캐너는 모델 가중치에서 발견한 코드를 파싱하고 분석해 잠재적인 악성 사용 여부를 더 깊게 확인하는 역할을 한다.
  • 공유 모델은 가중치, 설정, 데이터 구조를 직렬화해 배포되며, pickle 같은 일부 형식은 역직렬화 과정에서 임의 코드 실행 위험을 만들 수 있다.
  • 모든 공개 모델 저장소는 파일을 Hub에 push하면 자동으로 JFrog 스캔 대상이 되며, 이미 수억 개 파일이 스캔되었지만 전체 저장소 반영에는 시간이 걸릴 수 있다.

🧩 주요 포인트

  1. Hugging Face는 JFrog와 협력해 Hugging Face Hub의 보안 스캐너 제품군에 JFrog 스캐너를 추가한다고 밝혔다.
  2. 기존 picklescan은 모듈 이름 기반 패턴 매칭을 수행하기 때문에, 모델 가중치 안의 코드가 실제로 악성인지 항상 판단하기 어렵다는 한계가 있었다.
  3. JFrog 스캐너는 모델 가중치에서 발견한 코드를 파싱하고 분석해 잠재적인 악성 사용 여부를 더 깊게 확인하는 역할을 한다.
  4. 공유 모델은 가중치, 설정, 데이터 구조를 직렬화해 배포되며, pickle 같은 일부 형식은 역직렬화 과정에서 임의 코드 실행 위험을 만들 수 있다.
  5. 모든 공개 모델 저장소는 파일을 Hub에 push하면 자동으로 JFrog 스캔 대상이 되며, 이미 수억 개 파일이 스캔되었지만 전체 저장소 반영에는 시간이 걸릴 수 있다.

🧠 상세 정리

1. JFrog와의 보안 파트너십 발표

Hugging Face는 JFrog Software Supply Chain Platform을 만든 JFrog와 파트너십을 맺고, ML 커뮤니티에 더 안전하고 신뢰할 수 있는 플랫폼을 제공하겠다는 기존 방향을 이어간다고 설명했다. 이번 조치의 핵심은 Hugging Face Hub에 JFrog 스캐너를 추가하는 것이다. Hugging Face는 이를 통해 Hub의 보안 수준을 계속 개선하고, 특히 스캔 과정에서 발생할 수 있는 오탐을 줄이는 데 도움을 얻고자 한다고 밝혔다.

2. 기존 picklescan의 한계와 JFrog의 차이

원문은 모델 가중치가 단순한 숫자 데이터만이 아니라, 형식에 따라 역직렬화 시점이나 때로는 추론 시점에 실행되는 코드를 포함할 수 있다고 설명한다. 이런 코드는 개발자에게 필요한 실용적 기능일 때도 많아, 존재 자체만으로 악성이라고 단정하기 어렵다. 기존 picklescan은 모듈 이름에 대한 패턴 매칭을 수행하므로 특정 함수나 모듈 사용이 실제 악성인지 항상 확인할 수 없었다. JFrog는 한 단계 더 들어가 모델 가중치 안에서 찾은 코드를 파싱하고 분석해 잠재적 악성 사용 가능성을 점검한다.

3. 모델 공유와 직렬화 형식의 보안 위험

Hugging Face는 모델을 공유하기 위해 가중치, 설정, 그리고 모델과 상호작용하는 데 쓰이는 여러 데이터 구조를 직렬화한다고 설명한다. 이 과정은 저장과 전송을 쉽게 만들지만, 일부 직렬화 형식은 임의 코드 실행 같은 심각한 악용 가능성을 품고 있다. 원문은 특히 pickle을 대표적인 위험 형식으로 언급하며, 이런 형식을 사용하는 공유 모델은 잠재적으로 위험할 수 있다고 지적한다. Hugging Face가 picklescan 같은 도구를 개발하고 JFrog를 스캐너 제품군에 통합하는 이유도 커뮤니티를 이러한 위험에서 보호하기 위해서다.

4. pickle을 넘어선 위협 탐지 범위

글은 pickle만이 악용 가능한 형식은 아니라고 강조한다. 예시로 Keras Lambda 레이어를 악용해 임의 코드 실행을 달성할 수 있는 사례를 언급하며, 모델 보안 문제가 특정 파일 형식 하나에만 갇혀 있지 않음을 보여준다. Hugging Face는 JFrog가 pickle 관련 악용과 Keras Lambda 레이어 악용을 모두 포착할 수 있으며, 추가 파일 형식의 위협도 더 다룬다고 설명한다. 최신 스캐너 정보는 JFrog의 Model Threats 페이지에서 확인할 수 있다고 안내한다.

5. 자동 통합 방식과 적용 현황

사용자는 이 기능의 혜택을 받기 위해 별도 작업을 할 필요가 없다. Hugging Face는 모든 공개 모델 저장소가 파일을 Hub에 push하는 즉시 JFrog에 의해 자동으로 스캔될 것이라고 설명한다. 다만 Hub에는 수백만 개의 모델 저장소가 있기 때문에, 모든 모델에서 바로 스캔 결과가 보이지 않을 수 있다고 덧붙인다. 원문은 이미 수억 개의 파일을 스캔했다고 밝히며, 안전하면서도 마찰이 적은 모델 공유 환경이 전체 분야의 성장으로 이어질 것이라는 믿음을 강조한다.

🧾 핵심 주장 / 시사점

  • 모델 보안은 파일 확장자나 모듈 이름만 보는 수준을 넘어, 실제 포함된 코드의 동작 가능성과 사용 맥락을 분석하는 방향으로 이동하고 있다.
  • Hugging Face가 오탐 감소를 명시한 점은 보안 탐지가 강력해질수록 정상 개발 흐름을 방해하지 않는 정밀도도 중요해진다는 사실을 보여준다.
  • 공개 모델 저장소를 자동 스캔 대상으로 삼는 방식은 개별 사용자에게 추가 부담을 주지 않으면서 플랫폼 차원의 공급망 보안을 강화하려는 접근이다.

✅ 액션 아이템

  • 허깅페이스와 JFrog가 Hub 보안 스캐너로 결합되는 점을 중심으로 picklescan의 모듈명 패턴 한계를 보완하는 흐름을 정리한다.
  • 공개 모델 저장소에서 파일을 Hub에 push하면 자동 스캔이 시작되므로 반영 범위와 전체 반영 지연 구간을 함께 점검한다.
  • 모델 가중치·설정·데이터 구조의 직렬화 배포 방식과 pickle 역직렬화의 임의 코드 실행 위험을 반영해 형식별 보안 관리 우선순위를 정한다.

❓ 열린 질문

  • JFrog 스캐너의 코드 파싱·분석은 picklescan의 모듈명 패턴 매칭보다 악성 코드 판별 정확도를 얼마나 개선할 수 있는가?
  • 수억 개 파일이 선행 스캔된 뒤에도 전체 저장소 반영이 지연되는 구간은 어느 수준에서 운영 리스크로 판단되어야 하는가?
  • pickle 외 직렬화 포맷에서도 동일한 임의 코드 실행 위험이 확인되면 공유 모델 배포 시 어떤 기준으로 대응 범위를 확장할 것인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.