Se han descubierto tres vulnerabilidades críticas en una utilidad de código abierto llamada Picklescan que podría permitir a actores maliciosos ejecutar código arbitrario cargando modelos PyTorch que no son de confianza, evitando efectivamente las protecciones de la herramienta.
Picklescan, desarrollado y mantenido por Matthieu Maitre (@mmaitre314), es un escáner de seguridad que analiza archivos pickle de Python y detecta importaciones sospechosas o llamadas a funciones antes de que se ejecuten. Pickle es un formato de serialización ampliamente utilizado en el aprendizaje automático, incluido PyTorch, que utiliza el formato para guardar y cargar modelos.
Pero los archivos pickle también pueden representar un riesgo importante para la seguridad porque pueden usarse para activar automáticamente la ejecución de código Python arbitrario cuando se cargan. Esto requiere que los usuarios y las organizaciones carguen modelos confiables o pesos de modelos de TensorFlow y Flax.
Los problemas descubiertos por JFrog esencialmente le permiten evitar el escáner, presentar los archivos del modelo escaneado como seguros y permitir la ejecución de código malicioso, lo que podría allanar el camino para un ataque a la cadena de suministro.
“Cualquier vulnerabilidad descubierta permite a los atacantes evadir la detección de malware de PickleScan y potencialmente llevar a cabo un ataque a la cadena de suministro a gran escala mediante la difusión de modelos de aprendizaje automático maliciosos que ocultan código malicioso indetectable”, dijo el investigador de seguridad David Cohen.
En esencia, Picklescan funciona examinando los archivos pickle a nivel de código de bytes y comparando los resultados con una lista negra de importaciones y operaciones peligrosas conocidas para señalar comportamientos similares. Este enfoque, a diferencia de las listas permitidas, también significa que evita que las herramientas detecten nuevos vectores de ataque y requiere que los desarrolladores consideren todos los posibles comportamientos maliciosos.
Los defectos identificados son los siguientes:
- CVE-2025-10155 (Puntuación CVSS: 9.3/7.8): una vulnerabilidad de omisión de extensión de archivo que se puede utilizar para subvertir el escáner y cargar el modelo cuando se proporciona un archivo pickle estándar con una extensión relacionada con PyTorch, como .bin o .pt.
- CVE-2025-10156 (Puntuación CVSS: 9,3/7,5): una vulnerabilidad de derivación que se puede utilizar para desactivar el análisis de archivos ZIP mediante la introducción de un error de comprobación de redundancia cíclica (CRC).
- CVE-2025-10157 (Puntuación CVSS: 9.3/8.3): una vulnerabilidad de derivación que puede usarse para socavar la verificación global insegura de Picklescan, lo que resulta en la ejecución de código arbitrario al omitir una lista de bloqueo de importaciones peligrosas.
Al explotar con éxito las vulnerabilidades anteriores, los atacantes podrían usar extensiones comunes de PyTorch para ocultar cargas útiles de pickle maliciosas en archivos, inyectar intencionalmente errores CRC en archivos ZIP que contienen modelos maliciosos o crear modelos de PyTorch maliciosos con cargas útiles de pickle integradas para evitar el escáner.
Después de la divulgación responsable el 29 de junio de 2025, las tres vulnerabilidades se solucionaron en la versión 0.0.31 de Picklescan lanzada el 9 de septiembre.
Los resultados ilustran algunos problemas sistémicos importantes, incluida la dependencia de una única herramienta de escaneo y las discrepancias en el comportamiento de procesamiento de archivos entre las herramientas de seguridad y PyTorch, lo que deja las arquitecturas de seguridad vulnerables a los ataques.
“Las bibliotecas de IA como PyTorch se están volviendo más complejas cada día, introduciendo nuevas características, formatos de modelos y rutas de ejecución más rápido de lo que las herramientas de escaneo de seguridad pueden adaptar”, dijo Cohen. “Esta brecha cada vez mayor entre innovación y protección expone a las organizaciones a nuevas amenazas que las herramientas tradicionales simplemente no están diseñadas para abordar”.
“Cerrar esta brecha requiere un proxy de seguridad respaldado por investigaciones para modelos de IA que esté continuamente informado por expertos que piensen como atacantes y defensores. Al analizar activamente nuevos modelos, rastrear actualizaciones de bibliotecas y descubrir nuevas técnicas de explotación, este enfoque proporciona protección adaptativa basada en datos contra las vulnerabilidades que más importan”.
About The Author
