Várias vulnerabilidades críticas de dia zero no PickleScan, uma ferramenta popular de código aberto usada para verificar modelos de aprendizado de máquina em busca de códigos maliciosos.
PickleScan é amplamente utilizado no mundo da IA, inclusive pelo Hugging Face, para verificar modelos PyTorch salvos com o formato pickle do Python.
Pickle é flexível, mas perigoso, porque carregar um arquivo pickle pode executar código Python arbitrário. Isso significa que um arquivo de modelo pode incluir secretamente comandos para roubar dados, instalar backdoors ou assumir o controle de um sistema.
Modelos PyTorch maliciosos acionam a execução de código
A equipe do JFrog descobriu que os invasores podem usar essas falhas para contornar as verificações do PickleScan e ainda executar código malicioso quando o modelo é carregado no PyTorch.
Documentação oficial do módulo pickle do Python com um aviso ao usuário
O primeiro bug, CVE‑2025‑10155, permite que invasores evitem a verificação simplesmente alterando a extensão do arquivo.
Um arquivo pickle malicioso renomeado para uma extensão estilo PyTorch como .bin ou .pt pode confundir o PickleScan, fazendo com que ele não consiga analisar o conteúdo. Ao mesmo tempo, o PyTorch ainda o carrega e executa.
ID do CVE Nome da vulnerabilidade Pontuação CVSS GravidadeCVE-2025-10155Ignorar extensão de arquivo9.3CríticoCVE-2025-10156Ignorar CRC em arquivos ZIP9.3CríticoCVE-2025-10157Ignorar globais inseguros9.3Crítico
O segundo bug, CVE‑2025‑10156, abusa da forma como os arquivos ZIP são tratados, corrompendo os valores CRC (verificação de integridade) dentro de um arquivo ZIP.
Os invasores podem fazer com que o PickleScan trave ou falhe, mas o PyTorch ainda pode carregar o modelo do mesmo arquivo quebrado. Isso cria um ponto cego onde o malware pode se esconder.
Prova de conceito – como a extensão do arquivo permite ignorar a detecção
O terceiro bug, CVE‑2025‑10157, tem como alvo a lista de bloqueio de módulos “inseguros” do PickleScan usando subclasses ou importações internas de módulos perigosos como asyncio.
Os invasores podem passar do rótulo “Perigoso” e ser marcados apenas como “Suspeito”, mesmo que comandos arbitrários ainda possam ser executados.
Como muitas plataformas e empresas dependem do PickleScan como principal camada de defesa, essas falhas criam um sério risco na cadeia de suprimentos para modelos de IA.
O catálogo fornece informações precisas sobre o modelo e as evidências encontradas dentro
A equipe do JFrog relatou as falhas ao mantenedor do PickleScan em 29 de junho de 2025, e as corrigiu na versão 0.0.31, lançada em 2 de setembro de 2025.
Os usuários são incentivados a atualizar imediatamente e, quando possível, evitar modelos inseguros baseados em pickles. Use defesas em camadas, como sandboxes, formatos mais seguros, como Safetensors, e repositórios de modelos seguros.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
