PickleScan descobre vulnerabilidades de dia 0 que permitem execução arbitrária de código por meio de modelos PyTorch maliciosos – Against Invaders

PickleScan descobre vulnerabilidades de dia 0 que permitem execução arbitrária de código por meio de modelos PyTorch maliciosos - Against Invaders

A JFrog Security Research descobriu três vulnerabilidades críticas de dia zero no PickleScan, uma ferramenta padrão do setor amplamente adotada para verificar modelos de aprendizado de máquina e detectar conteúdo malicioso.

Essas vulnerabilidades permitiriam que os invasores contornassem completamente os mecanismos de detecção de malware do PickleScan, facilitando potencialmente ataques em grande escala à cadeia de suprimentos ao distribuir modelos de ML maliciosos contendo código indetectável.

As descobertas sublinham uma fraqueza fundamental na Segurança de IA dependência do ecossistema em uma única solução de segurança.

A popularidade do PyTorch no aprendizado de máquina traz consigo uma carga de segurança significativa. A biblioteca hospeda mais de 200.000 modelos disponíveis publicamente em plataformas como Hugging Face, mas depende do formato de serialização “pickle” do Python por padrão.

Embora a flexibilidade do pickle permita a reconstrução de qualquer objeto Python, essa mesma característica cria uma vulnerabilidade crítica: arquivos pickle podem incorporar e executar código Python arbitrário durante a desserialização.

Quando os usuários carregam um modelo PyTorch não confiável, eles correm o risco de executar código malicioso capaz de exfiltrar dados confidenciais, instalar backdoors ou comprometer sistemas inteiros.

Esta ameaça não é teórica. Modelos maliciosos já foram descobertos no Hugging Face, visando cientistas de dados desavisados ​​com backdoors silenciosos.

PickleScan surgiu como a linha de frente de defesa do setor, analisando o bytecode pickle para detectar operações perigosas antes da execução.

A ferramenta analisa arquivos no nível de bytecode, faz referência cruzada de resultados com uma lista de bloqueio de importações perigosas e oferece suporte a vários formatos PyTorch.

No entanto, seu modelo de segurança baseia-se em uma suposição crítica: o PickleScan deve interpretar os arquivos de forma idêntica à forma como o PyTorch os carrega. Qualquer divergência na análise cria lacunas de segurança exploráveis.

Três vulnerabilidades críticas

A primeira vulnerabilidade (CVE-2025-10155, CVSS 9.3) explora a lógica de detecção de tipo de arquivo do PickleScan.

Ao renomear um arquivo pickle malicioso com uma extensão relacionada ao PyTorch, como .bin ou .pt, os invasores podem fazer com que o scanner específico do PyTorch do PickleScan falhe enquanto o próprio PyTorch carrega o arquivo com sucesso, analisando seu conteúdo em vez de sua extensão. O carga maliciosa executa sem ser detectado.

A segunda vulnerabilidade (CVE-2025-10156, CVSS 9.3) envolve erros CRC (Cyclic Redundancy Check) em arquivos ZIP.

O PickleScan falha completamente ao encontrar incompatibilidades de CRC, gerando exceções que interrompem a verificação.

No entanto, o carregamento do modelo do PyTorch geralmente ignora essas verificações CRC, criando uma discrepância perigosa onde o PickleScan marca os arquivos como não verificados enquanto o PyTorch carrega e executa seu conteúdo com sucesso.

A terceira vulnerabilidade (CVE-2025-10157, CVSS 9.3) revela que a verificação global insegura do PickleScan pode ser contornada usando subclasses de importações perigosas em vez de nomes exatos de módulos.

Por exemplo, importar classes internas de uma biblioteca asyncio na lista negra ignora totalmente a verificação, permitindo que invasores injetem cargas maliciosas enquanto o PickleScan categoriza a ameaça como meramente “suspeita” em vez de “perigosa”.

Implicações de segurança sistêmica

Estas vulnerabilidades expõem problemas mais profundos na infraestrutura de segurança de IA. O único ponto de falha do ecossistema em torno do PickleScan significa que, quando a ferramenta falha, arquiteturas de segurança inteiras entram em colapso.

As organizações que dependem do Hugging Face, que integra o PickleScan para digitalizar milhões de modelos carregados, enfrentam riscos específicos.

As vulnerabilidades demonstram como as divergências entre as ferramentas de segurança e as aplicações alvo criam lacunas exploráveis, uma lição crítica para os profissionais de segurança de IA.

As organizações devem atualizar imediatamente para a versão 0.0.31 do PickleScan, que aborda todas as três vulnerabilidades.

No entanto, este patch por si só é insuficiente. A implementação de defesas em camadas, incluindo ambientes em sandbox e proxies de repositório de modelos seguros, como o JFrog Artifactory, fornece proteção adicional.

As organizações devem priorizar a migração para formatos de modelo de ML mais seguros, como Safetensors, ao mesmo tempo em que implementam a remoção automatizada de verificações de segurança com falha.

A comunidade de segurança da IA ​​deve reconhecer que nenhuma ferramenta pode garantir uma proteção abrangente e que estratégias de defesa profunda continuam a ser essenciais neste cenário de ameaças em evolução.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.