Hugging Face защитила ядра нейросетей подписью кода: подмена модуля больше невозможна
Hugging Face перевела ядра для нейросетей в отдельный тип репозиториев, добавила подпись кода и систему доверенных издателей, чтобы защитить разработчиков от вредоносных модулей при запуске на своих машинах.

Ядра (kernels) выполняют нативный код с теми же правами, что и Python-процесс, поэтому подмена ядра равна полному доступу к машине: новая система доверия и подписей закрывает именно эту уязвимость.
Hugging Face, крупнейшая открытая платформа для работы с нейросетями, за последние месяцы фактически переработала проект Kernels. Об обновлениях компания рассказала в блоге. Ядра (kernels, скомпилированные модули, которые ускоряют вычисления для нейросетей на GPU) раньше существовали как обычные файлы внутри репозиториев моделей. Теперь это самостоятельный тип репозитория со своей страницей, фильтрами по ускорителям, операционным системам и версиям бэкендов.
| Что | Когда | Кто выпустил | Цена |
|---|---|---|---|
| Kernels: новый тип репозитория, подпись кода, доверенные издатели, расширение фреймворков | Последние месяцы, текущая версия 0.16.0 | Hugging Face | Бесплатно (опенсорс) |
Что изменилось в Kernels?
-
Отдельный тип репозитория. Ядра получили собственную категорию на Hub. Теперь можно видеть, какие ускорители и ОС поддерживает конкретное ядро, и отслеживать тренды по ядрам, моделям и приложениям. Все доступные ядра собраны на странице huggingface.co/kernels.
-
Доверенные издатели (trusted publishers). По умолчанию пакет
kernelsзагружает ядра только от организаций, которым сообщество доверяет. Загрузить ядро от стороннего автора можно, но придётся явно указать параметрtrust_remote_code=True. Публиковать ядра тоже нельзя без заявки: каждый запрос рассматривается вручную. -
Подпись кода через Sigstore. Ядро подписывается эфемерным (временным, действующим ограниченный срок) закрытым ключом. Даже если злоумышленник получит доступ к учётной записи издателя на Hub, он не сможет подписать подменённое ядро. Дополнительно проверяется, что ядро собрано доверенным рабочим процессом из доверенного репозитория на GitHub.
-
Воспроизводимость через Nix. Сборки изолированы, а хеш исходного кода (Git SHA1) встраивается в само ядро. Любой разработчик может пересобрать ядро и убедиться, что оно совпадает с опубликованным.
-
Разделение CLI. Утилиты командной строки разнесены:
kernelsотвечает за загрузку и подготовку,kernel-builderза сборку. Оба инструмента стали компактнее. -
Поддержка новых фреймворков. Добавлена поддержка Torch Stable ABI (стабильный бинарный интерфейс PyTorch), который позволяет одному ядру работать с PyTorch 2.9 и всеми последующими версиями примерно два года. Также добавлена поддержка Apache TVM FFI, стандартизированного интерфейса, совместимого с PyTorch, Jax и CuPy одновременно.
-
Основа для агентной разработки ядер. Связка
kernel-builderиkernelsподдерживает цикл, в котором ИИ-агент (программа, действующая автономно) может создать ядро, собрать, протестировать и итеративно оптимизировать его. Направление пока раннее, но инструменты уже готовы к встраиванию в любые агентные пайплайны.
Как попробовать?
-
Откройте каталог ядер: huggingface.co/kernels. Найдите ядро для нужного ускорителя и фреймворка.
-
Установите пакет
kernelsи загрузите ядро в коде. Для доверенного издателя достаточно одной строки:python from kernels import get_kernel kernel_module = get_kernel("имя_издателя/имя_ядра", version=1) -
Если нужно ядро от стороннего автора, добавьте
trust_remote_code=True, но предварительно проверьте исходный код и подпись командойkernels verify-signature. -
Для настройки подписи собственных ядер изучите заметки к релизу 0.16.0: github.com/huggingface/kernels/releases/tag/v0.16.0.
Есть ли аналоги в России?
Прямого аналога Hugging Face Kernels в российском стеке нет. YandexGPT и GigaChat предоставляют API для инференса (исполнения запросов к модели), но не публичный реестр скомпилированных ядер с системой доверия. Российские разработчики, работающие с открытыми моделями нейросетей, чаще всего используют именно Hugging Face Hub как основную платформу. Обновления Kernels касаются их напрямую: любой, кто запускает модели локально на GPU, загружает ядра оттуда.
Что это значит для вас?
-
Автору Дзена и копирайтеру. Если вы запускаете Hugging Face нейросеть локально для генерации текстов или изображений, система доверенных издателей защитит вашу машину от вредоносного кода. Ничего настраивать не нужно: защита работает по умолчанию.
-
Разработчику и техническому специалисту. Появился повод проверить подписи ядер, которые вы уже используете, командой
kernels verify-signature. Если вы публикуете собственные ядра, подайте заявку на статус доверенного издателя и настройте подпись через Sigstore по инструкции к версии 0.16.0. -
Предпринимателю в РФ и СНГ. Hugging Face Hub доступен из России. Если ваша команда строит продукт на открытых моделях, обновление снижает риск атаки через цепочку поставок, когда вредоносный код попадает не через модель, а через ускоряющее ядро.
Hugging Face нейросеть как платформа давно вышла за рамки простого хранилища моделей. Вынос ядер в отдельный тип репозитория и система подписей напоминают подход менеджеров пакетов вроде npm или PyPI, где доверие к издателю стало нормой после серии атак на цепочки поставок. На мой взгляд, именно безопасность, а не скорость и не новые фреймворки, главная ценность этого обновления. Подпись кода пока не проверяется автоматически при загрузке (команда хочет протестировать функцию перед полным включением), поэтому проверяйте подписи вручную. Рекомендую сегодня сделать одно: откройте терминал и выполните kernels verify-signature для каждого ядра, которое уже используете.
Частые вопросы
Нужно ли платить за Kernels?
Нет. Проект полностью открытый и бесплатный. Исходный код доступен на GitHub, ядра публикуются и загружаются через Hugging Face Hub без подписки.
Что будет, если я загружу ядро от недоверенного издателя без параметра trust_remote_code?
Пакет kernels откажет в загрузке и выдаст ошибку. Это сделано намеренно: по умолчанию выполняется только код от проверенных организаций. Чтобы загрузить ядро от стороннего автора, добавьте trust_remote_code=True, но перед этим изучите исходный код и проверьте подпись.
Автоматическая проверка подписи уже работает?
Пока нет. Команда Hugging Face добавила инструмент kernels verify-signature для ручной проверки, но автоматическая валидация при загрузке ещё не включена. Разработчики хотят протестировать механизм шире, прежде чем сделать его обязательным.

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».
Читайте также

Contextual Retrieval для RAG нейросети: контекст чанков снижает ошибки поиска в разы
Anthropic качество генерации контекста у Haiku и Sonnet отличается минимально для этой задачи. Для русскоязычных корпусов можно использовать тот же промпт,…
Студенты из Казахстана собрали мировую модель на WAN за $2000 и одну RTX 4090
Компания Microsoft на конференции Build представила новую мировую модель, созданную двумя 19-летними студентами из Казахстана за $2000 на базе открытых…

Tencent открыла Hy3: mixture of experts модель на 295B параметров бесплатна до 2026 года
Tencent второго июля выпустила Hy3, открытую модель на 295 миллиардов параметров с архитектурой MoE (mixture of experts, «смесь экспертов», когда из сотен…
Комментарии