ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исследователи в области кибербезопасности раскрыли подробности критической уязвимости, затрагивающей LeRobot — платформу для робототехники с открытым исходным кодом от Hugging Face, набравшую почти 24 000 звезд на GitHub, — которая может быть использована для удаленного выполнения кода.

Речь идет об уязвимости CVE-2026-25874 (оценка CVSS: 9,3), которая была описана как случай десериализации недоверенных данных, вызванный использованием небезопасного формата pickle.

«LeRobot содержит уязвимость, связанную с небезопасной десериализацией в конвейере асинхронного вывода, где pickle.loads() используется для десериализации данных, полученных по неаутентифицированным каналам gRPC без TLS в компонентах сервера политик и клиента робота», — говорится в уведомлении GitHub об этой уязвимости.

«Неаутентифицированный злоумышленник, имеющий доступ к сети, может добиться выполнения произвольного кода на сервере или клиенте, отправив специально сформированный пикел-пайлоуд через вызовы gRPC SendPolicyInstructions, SendObservations или GetActions».

По данным Resecurity, проблема коренится в компоненте PolicyServer системы асинхронного вывода, позволяя неавторизованному злоумышленнику, имеющему доступ к сетевому порту PolicyServer, отправить вредоносный сериализованный пакет данных и запустить произвольные команды операционной системы на хост-машине, на которой работает сервис.

Компания по кибербезопасности заявила, что уязвимость является «опасной», поскольку сервис предназначен для систем инференции искусственного интеллекта, которые, как правило, работают с повышенными привилегиями для доступа к внутренним сетям, наборам данных и дорогостоящим вычислительным ресурсам. В случае использования уязвимости злоумышленником это может привести к широкому спектру действий, включая:

Удаленное выполнение кода без аутентификации

Полный компрометацию хоста PolicyServer

Кражу конфиденциальных данных, таких как ключи API, учетные данные SSH и файлы моделей

Сбой сервисов, повреждение моделей или саботажные операции, ведущие к рискам физической безопасности

Исследователь безопасности VulnCheck Валентин Лобштейн, который обнаружил и опубликовал дополнительные подробности об этой уязвимости на прошлой неделе, заявил, что она была успешно подтверждена в LeRobot версии 0.4.3. На данный момент проблема остается неисправленной, а исправление запланировано в версии 0.6.0.

Интересно, что об этом же недостатке независимо сообщил другой исследователь под псевдонимом «chenpinji» где-то в декабре 2025 года. Команда LeRobot ответила в начале января, признав угрозу безопасности и отметив, «что часть кодовой базы необходимо почти полностью переработать, поскольку ее первоначальная реализация носила более экспериментальный характер».

«Тем не менее, LeRobot до сих пор в основном был инструментом для исследований и прототипирования, поэтому безопасность развертывания до сих пор не была в центре внимания», — сказал Стивен Пальма, технический руководитель проекта. «По мере того как LeRobot продолжает внедряться и развертываться в производственной среде, мы начнем уделять гораздо больше внимания подобным проблемам. К счастью, поскольку это проект с открытым исходным кодом, сообщество также может помочь, сообщая об уязвимостях и исправляя их».

Эти результаты еще раз демонстрируют опасность использования формата pickle, поскольку он открывает путь для атак с выполнением произвольного кода просто путем загрузки специально созданного файла.

«Иронию этой ситуации трудно переоценить», — отметил Лобштейн. «Hugging Face создала Safetensors — формат сериализации, разработанный специально потому, что pickle опасен для данных машинного обучения. И тем не менее их собственный фреймворк для робототехники десериализует контролируемый злоумышленником сетевой вход с помощью pickle.loads(), используя комментарии #nosec, чтобы заглушить инструмент, который пытался их предупредить».