Uma investigação recente da Oligo Security revelou uma série de vulnerabilidades de execução remota de código (RCE) em alguns dos principais frameworks de inferência de Inteligência Artificial do mercado. Entre os afetados estão gigantes como Meta, Nvidia e Microsoft, além de projetos open-source populares como vLLM e SGLang. O ponto central da descoberta é a forma como essas falhas se disseminaram: através da prática, aparentemente inofensiva, de copiar e colar código entre diferentes projetos.
A Raiz do Problema: ZeroMQ e Pickle
Avi Lumelsky, pesquisador de segurança da Oligo, explicou que todas as vulnerabilidades rastreadas tinham uma causa comum: o uso inseguro de ZeroMQ (ZMQ) e da deserialização de “pickle” do Python. Em termos simples, os desenvolvedores estavam utilizando bibliotecas que, em ambientes controlados, seriam seguras, mas que, expostas à rede, abrem brechas para ataques. O problema se agravou quando trechos de código contendo essas práticas inseguras foram replicados entre diferentes projetos, muitas vezes de forma literal.
O Padrão “ShadowMQ” e a Contaminação do Ecossistema de IA
A Oligo apelidou esse padrão de “ShadowMQ”, uma falha oculta na camada de comunicação que migra de um repositório para outro por meio de cópias e adaptações superficiais. O que torna isso particularmente perigoso é a vasta reutilização desses frameworks no ecossistema de IA. Uma única vulnerabilidade pode contaminar inúmeros projetos downstream, transformando-se em um risco sistêmico.
Como a Falha Foi Descoberta e Corrigida
A investigação começou com a identificação da vulnerabilidade no Llama Stack da Meta. Ali, uma função utilizava o “recv-pyobj()” do ZeroMQ para receber dados e, em seguida, passá-los diretamente para o “pickle.loads()” do Python. Essa combinação permitia a execução de código arbitrário através de sockets não autenticados. Após a descoberta, a Meta agiu rapidamente para corrigir a falha, substituindo o uso inseguro de “pickle” pela serialização baseada em JSON.
Implicações e Riscos
Os servidores de inferência vulneráveis formam a espinha dorsal de muitas infraestruturas de IA corporativas, processando dados sensíveis, como prompts, pesos de modelos e informações de clientes. A Oligo identificou milhares de sockets ZeroMQ expostos na internet pública, alguns deles ligados a esses clusters de inferência. Um ataque bem-sucedido poderia permitir a execução de código arbitrário em clusters de GPU, a escalada de privilégios, a exfiltração de dados confidenciais ou até mesmo a instalação de mineradores de criptomoedas, transformando um ativo de IA em um passivo.
Recomendações e Medidas Preventivas
Diante desse cenário, a Oligo recomenda enfaticamente a atualização para as versões corrigidas dos frameworks afetados (Meta Llama Stack v.0.0.41, Nvidia TensorRT-LLM 0.18.2, vLLM v0.8.0 e Modular Max Server v25.6). Além disso, a empresa sugere restringir o uso de “pickle” com dados não confiáveis, adicionar autenticação HMAC e TLS à comunicação baseada em ZQ e, crucialmente, educar as equipes de desenvolvimento sobre os riscos associados a essas práticas.
Conclusão: A Importância da Segurança no Desenvolvimento de IA
O caso das vulnerabilidades “copy-paste” nos frameworks de IA da Meta, Nvidia e Microsoft serve como um alerta sobre a importância da segurança no desenvolvimento de sistemas de Inteligência Artificial. A pressa em lançar produtos e a reutilização de código, sem a devida análise de segurança, podem abrir brechas perigosas, com consequências potencialmente devastadoras. É fundamental que as empresas invistam em treinamento de segurança para seus desenvolvedores, adotem práticas de desenvolvimento seguras e realizem testes de segurança rigorosos em todas as etapas do ciclo de vida do software. A segurança da IA não é apenas uma questão técnica, mas também ética e socialmente responsável. A confiança do público na IA depende, em grande medida, da garantia de que esses sistemas são seguros, confiáveis e protegidos contra ataques maliciosos. Fonte
