Vulnerabilidades Críticas do PickleScan Expõem Cadeias de Suprimentos de Modelos de IA

Vulnerabilidades Críticas do PickleScan Expõem Cadeias de Suprimentos de Modelos de IA

Três vulnerabilidades críticas de dia zero que afetam o PickleScan, uma ferramenta amplamente utilizada para escanear arquivos de pickle em Python e modelos PyTorch, foram descobertas por pesquisadores de cibersegurança.

As falhas, todas com classificação CVSS de 9,3, mostram como atacantes poderiam burlar salvaguardas de varredura de modelos e distribuir modelos maliciosos de aprendizado de máquina sem serem detectados.

A Equipe de Pesquisa em Segurança do JFrog descreveu as vulnerabilidades em um aviso publicado em 2 de dezembro.

Três Falhas Críticas

A primeira falha, CVE-2025-10155, envolvia um simples bypass de extensão de arquivo. Pesquisadores descobriram que renomear um arquivo pickle malicioso para uma extensão comum do PyTorch, como .bin ou .pt, fazia com que o PickleScan classificasse incorretamente o tipo de arquivo e o transferisse para a lógica de análise sintática específica do PyTorch. Como o scanner priorizou extensões em vez da inspeção de conteúdo, a incompatibilidade resultou em uma varredura falhada enquanto o PyTorch ainda carregava o arquivo normalmente.

Uma segunda edição, CVE-2025-10156, revelou uma lacuna maior entre a forma como o PickleScan e o PyTorch processam arquivos ZIP. O PickleScan dependia do módulo zipfile do Python, que gerava exceções ao encontrar erros de Verificação de Redundância Cíclica (CRC). O PyTorch ignorava essas incompatibilidades, então um arquivo corrompido contendo código malicioso podia carregar com sucesso. Pesquisadores demonstraram que zerar valores CRC em um arquivo de modelos PyTorch fazia o PickleScan falhar, criando um ponto cego que atacantes podiam explorar para enviar modelos ignorados.

A terceira vulnerabilidade, CVE-2025-10157, permitiu que atacantes escapassem da lista negra de importados perigosos do PickleScan. Em vez de referenciar diretamente um módulo sinalizado, uma carga maliciosa poderia chamar uma subclasse desse módulo, levando o scanner a rotulá-lo apenas como “Suspeito”. Uma prova de conceito (POC) usando classes internas de assínpio mostrou como comandos arbitrários podiam ser executados durante a desserialização, evitando uma classificação “Perigosa”.

Leia mais sobre segurança da cadeia de suprimentos com IA: Alucinações com IA criam ameaça na cadeia de suprimentos de “slopsquatting”

Os resultados destacam riscos sistêmicos, incluindo:

  • Dependência de uma única ferramenta de varredura

  • Comportamento divergente de manuseio de arquivos entre ferramentas de segurança e frameworks de aprendizado de máquina (ML)

  • Exposição a ataques em grande escala na cadeia de suprimentos em grandes polos de modelos

As vulnerabilidades foram divulgadas aos mantenedores do PickleScan em 29 de junho de 2025 e corrigidas em 2 de setembro de 2025.

O JFrog recomendou atualizar o PickleScan para a versão 0.0.31, adotando defesas em camadas e migrando para formatos mais seguros como os Safetensors.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.