Pesquisadores de cibersegurança revelaram detalhes de uma falha crítica que afeta o LeRobot, plataforma de robótica de código aberto da Hugging Face, com quase 24.000 estrelas no GitHub, e que pode ser explorada para permitir execução remota de código.
A vulnerabilidade é a
CVE-2026-25874
, com pontuação CVSS de 9,3, descrita como um caso de desserialização de dados não confiáveis decorrente do uso do formato inseguro pickle.
“O LeRobot contém uma vulnerabilidade de desserialização insegura no pipeline de inferência assíncrona, em que pickle.loads() é usado para desserializar dados recebidos por canais gRPC sem autenticação e sem TLS nos componentes policy server e robot client”, informou um aviso da GitHub sobre a falha.
“Um invasor sem autenticação e com acesso à rede pode obter execução arbitrária de código no servidor ou no cliente ao enviar um payload pickle especialmente criado por meio das chamadas gRPC SendPolicyInstructions, SendObservations ou GetActions.”
Segundo a Resecurity, o problema está no componente assíncrono PolicyServer, permitindo que um invasor sem autenticação, mas com acesso à porta de rede do PolicyServer, envie um payload serializado malicioso e execute comandos arbitrários do sistema operacional na máquina hospedeira que executa o serviço.
A empresa de cibersegurança afirmou que a vulnerabilidade é “perigosa” porque o serviço foi projetado para sistemas de inferência de inteligência artificial, que costumam operar com privilégios elevados para acessar redes internas, conjuntos de dados e recursos computacionais caros.
Se a falha for explorada por um invasor, ela pode abrir caminho para uma série de ações, incluindo:
Execução remota de código sem autenticação
Comprometimento total da máquina hospedeira do PolicyServer
Impacto em robôs conectados
Roubo de dados sensíveis, como chaves de API, credenciais SSH e arquivos de modelo
Movimentação lateral pela rede
Queda de serviços, corrupção de modelos ou sabotagem de operações, com risco à segurança física
O pesquisador de segurança da VulnCheck, Valentin Lobstein, que descobriu e publicou detalhes adicionais da falha na semana passada, disse que o problema foi validado com sucesso na versão 0.4.3 do LeRobot.
A questão segue sem patch, e a correção está prevista para a versão 0.6.0.
De forma interessante, a mesma falha também foi relatada de maneira independente por outro pesquisador que usa o pseudônimo “chenpinji” em algum momento de dezembro de 2025.
A equipe do LeRobot respondeu no início de janeiro, reconhecendo o risco de segurança e observando que “essa parte da base de código precisa ser quase totalmente reescrita, já que sua implementação original era mais experimental”.
“Dito isso, o LeRobot até agora foi principalmente uma ferramenta de pesquisa e prototipagem, e por isso a segurança de implantação não era um foco tão forte até agora”, disse Steven Palma, líder técnico do projeto.
“À medida que o LeRobot continua a ser adotado e implantado em produção, passaremos a prestar muito mais atenção a esse tipo de problema.
Felizmente, por ser um projeto de código aberto, a comunidade também pode ajudar relatando e corrigindo vulnerabilidades.”
As descobertas voltam a expor os riscos do uso do formato pickle, que abre caminho para ataques de execução arbitrária de código simplesmente ao carregar um arquivo especialmente manipulado.
“A ironia aqui é difícil de exagerar”, observou Lobstein.
“A Hugging Face criou o Safetensors, um formato de serialização projetado especificamente porque o pickle é perigoso para dados de ML.
Ainda assim, seu próprio framework de robótica desserializa entrada de rede controlada por invasores com pickle.loads(), com comentários # nosec para silenciar a ferramenta que estava tentando alertá-los.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...