Bezpečnostní výzkumníci odhalili kritické zranitelnosti umožňující vzdálené spuštění kódu, které postihují hlavní inference enginy umělé inteligence (AI), včetně těch od společností Meta, Nvidia, Microsoft a open-source projektů PyTorch, jako jsou vLLM a SGLang.

„Všechny tyto zranitelnosti měly stejnou základní příčinu: přehlížené nebezpečné použití ZeroMQ (ZMQ) a deserializace pickle v Pythonu,“ uvedl výzkumník společnosti Oligo Security Avi Lumelsky ve zprávě.

V jádru problému leží to, co bylo popsáno jako vzorec nazvaný ShadowMQ, ve kterém se logika nebezpečné deserializace rozšířila do několika projektů v důsledku opětovného použití kódu.

Základní příčinou je zranitelnost ve frameworku velkého jazykového modelu (LLM) Llama společnosti Meta (CVE-2024-50050, CVSS skóre: 6.3/9.3), kterou společnost opravila loni v říjnu. Konkrétně šlo o použití metody recv_pyobj() ZeroMQ k deserializaci příchozích dat pomocí modulu pickle v Pythonu.

To, spolu se skutečností, že framework vystavil socket ZeroMQ přes síť, otevřelo dveře scénáři, kdy útočník může spustit libovolný kód odesláním škodlivých dat k deserializaci. Problém byl také vyřešen v knihovně pyzmq pro Python.

Společnost Oligo od té doby objevila stejný vzorec opakující se v dalších inference frameworcích, jako jsou Nvidia TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM a SGLang.

Při sledování původu problému společnost Oligo zjistila, že alespoň v několika případech šlo o výsledek přímého kopírování kódu. Například zranitelný soubor v SGLang uvádí, že je adaptován z vLLM, zatímco Modular Max Server si vypůjčil stejnou logiku z vLLM i SGLang, čímž efektivně rozšířil stejnou chybu napříč kódovými bázemi.

Problémům byly přiřazeny následující identifikátory:

CVE-2025-30165 (CVSS skóre: 8.0) – vLLM (Ačkoli problém není opraven, byl vyřešen přepnutím na engine V1 jako výchozí)

CVE-2025-23254 (CVSS skóre: 8.8) – NVIDIA TensorRT-LLM (Opraveno ve verzi 0.18.2)

CVE-2025-60455 (CVSS skóre: N/A) – Modular Max Server (Opraveno)

Sarathi-Serve (Zůstává neopraveno)

SGLang (Implementovány neúplné opravy)

Vzhledem k tomu, že inference enginy fungují jako klíčová komponenta v rámci AI infrastruktur, by úspěšné kompromitování jediného uzlu mohlo útočníkovi umožnit spustit libovolný kód na clusteru, eskalovat oprávnění, provést krádež modelu a dokonce nainstalovat škodlivé náklady, jako jsou těžaři kryptoměn pro finanční zisk.

Odhalení přichází v době, kdy nová zpráva od bezpečnostní platformy AI Knostic zjistila, že je možné kompromitovat nový vestavěný prohlížeč Cursoru prostřednictvím technik injektáže JavaScriptu, nemluvě o využití škodlivého rozšíření k usnadnění injektáže JavaScriptu za účelem převzetí kontroly nad vývojářskou pracovní stanicí.

První útok zahrnuje registraci podvodného lokálního serveru Model Context Protocol (MCP), který obchází kontroly Cursoru, aby umožnil útočníkovi nahradit přihlašovací stránky v prohlížeči falešnou stránkou, která sbírá přihlašovací údaje a exfiltruje je na vzdálený server pod jejich kontrolou.

Vzhledem k tomu, že editor zdrojového kódu poháněný AI je v podstatě odnoží Visual Studio Code, by zlý aktér mohl také vytvořit škodlivé rozšíření pro injektáž JavaScriptu do běžícího IDE za účelem provedení libovolných akcí, včetně označení neškodných rozšíření Open VSX jako „škodlivých“.

Pro čelení těmto rizikům je nezbytné, aby uživatelé zakázali funkce automatického spuštění ve svých IDE, prověřovali rozšíření, instalovali MCP servery od důvěryhodných vývojářů a repozitářů, kontrolovali, k jakým datům a API servery přistupují, používali API klíče s minimálními požadovanými oprávněními a auditovali zdrojový kód MCP serverů pro kritické integrace.

Zdroj: thehackernews.com