Pesquisadores em cibersegurança identificaram vulnerabilidades críticas de execução remota de código (RCE) em importantes motores de inferência de inteligência artificial (AI), incluindo soluções da Meta, Nvidia, Microsoft e projetos open source como PyTorch, vLLM e SGLang.
Segundo Avi Lumelsky, pesquisador da Oligo Security, essas falhas possuem uma origem comum: o uso inseguro e negligente do ZeroMQ (ZMQ) combinado com a deserialização via pickle em Python.
O problema está relacionado a um padrão chamado ShadowMQ, no qual a lógica insegura de deserialização foi replicada em diversos projetos devido ao reaproveitamento de código.
A vulnerabilidade original foi descoberta no framework Llama da Meta para grandes modelos de linguagem (LLM), identificada como
CVE-2024-50050
(pontuação CVSS 6,3/9,3) e corrigida em outubro do ano passado.
A falha estava no método recv_pyobj() do ZeroMQ, que deserializava dados recebidos usando o módulo pickle, expondo o socket do ZeroMQ na rede.
Isso permitia que um atacante executasse código arbitrário ao enviar dados maliciosos para deserialização.
Posteriormente, essa vulnerabilidade também foi corrigida na biblioteca Python pyzmq.
A Oligo Security descobriu que o mesmo padrão inseguro estava presente em outros frameworks de inferência, como NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM e SGLang.
De acordo com Lumelsky, todos utilizavam uma lógica praticamente idêntica: deserialização pickle sobre sockets TCP ZMQ sem autenticação.
Surpreendentemente, equipes e empresas distintas cometeram o mesmo erro.
A análise revelou que, em alguns casos, o problema decorreu de cópia e colagem de código.
Por exemplo, o arquivo vulnerável no SGLang declara ser adaptado do vLLM, enquanto o Modular Max Server reutilizou a lógica tanto do vLLM quanto do SGLang, perpetuando a falha entre os diferentes códigos.
As vulnerabilidades foram catalogadas com os seguintes identificadores e status:
-
CVE-2025-30165
(CVSS 8,0) – vLLM (ainda não corrigido, mitigado ao usar por padrão o engine V1)
-
CVE-2025-23254
(CVSS 8,8) – NVIDIA TensorRT-LLM (corrigido na versão 0.18.2)
- CVE-2025-60455 (sem pontuação CVSS) – Modular Max Server (corrigido)
- Sarathi-Serve (sem correção aplicada)
- SGLang (correções parciais e incompletas)
Como os motores de inferência são componentes essenciais em infraestruturas de AI, a invasão de um único nó pode permitir que invasores executem código arbitrário, escalem privilégios, roubem modelos e implantem malware, como miners de criptomoedas, visando lucro financeiro.
Lumelsky alerta: “Os projetos evoluem em alta velocidade e frequentemente reutilizam componentes arquiteturais de outros sistemas.
Porém, quando esses códigos incluem padrões inseguros, o impacto se espalha rapidamente.”
Essa divulgação coincide com um novo relatório da plataforma de segurança em AI Knostic, que revelou vulnerabilidades no navegador integrado da ferramenta Cursor.
Técnicas de injeção de JavaScript permitem comprometer o navegador, e extensões maliciosas podem facilitar esse ataque para assumir o controle do ambiente de desenvolvimento.
O principal vetor de ataque envolve o registro de um servidor local falso do Model Context Protocol (MCP), que contorna as proteções do Cursor e substitui páginas de login por versões falsas, capturando credenciais e enviando-as a servidores remotos.
Segundo o pesquisador Dor Munis: “Quando o usuário executa o servidor MCP baixado, o arquivo mcp.json injeta código no navegador do Cursor, redirecionando o usuário para uma página falsa que rouba suas credenciais e as transmite a um servidor remoto.”
Como o editor de código alimentado por AI é um fork do Visual Studio Code, um atacante pode criar uma extensão maliciosa para injetar JavaScript e executar ações arbitrárias no IDE, inclusive marcando extensões legítimas do Open VSX como maliciosas.
Conforme alerta da Knostic, “JavaScript rodando no interpretador Node.js dentro do IDE herda privilégios completos: acesso total ao sistema de arquivos, capacidade de modificar funções do IDE e extensões instaladas, além de persistência após reinicializações.” Com isso, o ambiente pode se tornar uma plataforma para distribuição de malware e exfiltração de dados.
Para mitigar esses riscos, especialistas recomendam que usuários desativem recursos de Auto-Run em seus IDEs, verifiquem extensões antes da instalação, contratem servidores MCP apenas de desenvolvedores e repositórios confiáveis, analisem quais dados e APIs são acessados, utilizem chaves de API com permissões mínimas e auditem o código-fonte dos servidores MCP em integrações críticas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...