Falhas graves em frameworks de IA expõem sistemas da Meta, Nvidia e Microsoft a ataques

Pesquisadores identificaram vulnerabilidades críticas de execução remota de código em diversos frameworks de inferência de inteligência artificial utilizados por empresas como Meta, Nvidia e Microsoft, além de projetos open-source amplamente adotados, como vLLM e SGLang. As falhas comprometem a segurança de aplicações de IA em larga escala e podem permitir que hackers tomem controle total de servidores, realizem roubo de modelos e até instalem mineradores de criptomoedas.

Segundo Avi Lumelsky, Pesquisador da Oligo Security, todas as vulnerabilidades rastreadas têm a mesma causa raiz: o uso inseguro das funções do ZeroMQ (ZMQ) aliado à desserialização via Python Pickle — uma combinação já conhecida por permitir execução arbitrária de código quando manipulada de forma inadequada. Essa prática se espalhou entre diversos projetos devido a um padrão que a Oligo apelidou de ShadowMQ, resultado direto da reutilização de código vulnerável.

A investigação mostrou que a origem do problema está em uma falha previamente corrigida no framework do Llama, modelo de linguagem da Meta (CVE-2024-50050). O código usava o método recv_pyobj() do ZeroMQ para desserializar dados recebidos pela rede usando Pickle, permitindo que um invasor enviasse objetos maliciosos capazes de tomar controle do sistema. Embora a Meta tenha corrigido o problema em outubro, o mesmo padrão inseguro foi copiado para outros projetos, perpetuando a vulnerabilidade em múltiplos frameworks.

Frameworks como NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM e SGLang incorporaram trechos idênticos ou quase idênticos do código vulnerável, com alguns arquivos sendo literalmente cópias uns dos outros. Em alguns casos, as correções são parciais ou inexistentes — como no caso do Sarathi-Serve, que permanece sem patch.

As falhas receberam os seguintes identificadores:

• CVE-2025-30165 (CVSS 8.0) — vLLM (mitigado ao adotar o engine V1 como padrão)

• CVE-2025-23254 (CVSS 8.8) — NVIDIA TensorRT-LLM (corrigido na versão 0.18.2)

• CVE-2025-60455 — Modular Max Server (corrigido)

• Sarathi-Serve — permanece vulnerável

• SGLang — correções incompletas

O impacto potencial é severo. Um único nó comprometido pode permitir que o hacker execute código remoto, eleve privilégios, roube modelos proprietários ou implante malware, como mineradores de criptomoedas, afetando clusters inteiros de IA usados em produção.

Em paralelo, um relatório da plataforma de segurança Knostic revelou que é possível comprometer o navegador embutido do Cursor — um editor de código impulsionado por IA — usando técnicas de injeção de JavaScript.

Em um dos ataques, um invasor registra um servidor MCP falso capaz de substituir páginas de login por versões fraudulentas para capturar credenciais. Já outro vetor envolve a criação de extensões maliciosas para injetar código no editor e obter controle completo da máquina do desenvolvedor.

“Uma vez que o JavaScript ganha execução dentro do Node.js do IDE, o invasor herda privilégios completos”, explicou o pesquisador Dor Munis. Isso inclui acesso total ao sistema de arquivos, modificação de extensões instaladas e inserção de código persistente — transformando o ambiente de desenvolvimento em uma plataforma de distribuição de malware.

Para mitigar os riscos, especialistas recomendam desativar funções de Auto-Run nos IDEs, revisar extensões instaladas, validar a origem de servidores MCP, utilizar chaves de API com permissões mínimas e auditar o código de servidores MCP antes de integrá-los ao ambiente de desenvolvimento.

Via - THN