Um alerta vermelho soou nos bastidores da inteligência artificial. Pesquisadores de segurança cibernética da Oligo Security descobriram uma série de vulnerabilidades de execução remota de código (RCE) em importantes frameworks de inferência de IA, incluindo os da Meta, Nvidia, Microsoft, além de projetos de código aberto como vLLM e SGLang. A raiz do problema? Uma prática aparentemente inofensiva: o famoso ‘copy-paste’.

A Disseminação Silenciosa da Falha

O que torna essas vulnerabilidades particularmente insidiosas é a forma como se propagaram. Desenvolvedores, em busca de agilidade, copiaram trechos de código contendo padrões inseguros entre diferentes projetos. O resultado foi a disseminação da mesma falha em múltiplos ecossistemas, como um vírus digital transmitido por meio de atalhos de programação.

Avi Lumelsky, pesquisador de segurança da Oligo, ressaltou que todas as vulnerabilidades detectadas convergiam para uma causa comum: o uso inseguro do ZeroMQ (ZMQ) e da deserialização do ‘pickle’ do Python. “Ao nos aprofundarmos, descobrimos que arquivos de código foram copiados entre projetos (às vezes linha por linha), carregando padrões perigosos de um repositório para o outro”, explicou Lumelsky em postagem no blog da Oligo Security.

O Padrão ‘ShadowMQ’ e a Contaminação do Ecossistema

A investigação da Oligo revelou que o ponto de partida da vulnerabilidade estava no Llama Stack da Meta, onde uma função utilizava o “recv-pyobj()” do ZeroMQ para receber dados e, em seguida, passá-los diretamente para o “pickle.loads()” do Python. Essa combinação fatal permitia a execução de código arbitrário por meio de sockets não autenticados. Em outras palavras, um convite para cibercriminosos.

Oligo batizou esse padrão preocupante de “ShadowMQ” – uma falha na camada de comunicação que salta de um repositório para outro por meio de ‘copy-paste’ ou adaptações superficiais, em vez de implementações originais e seguras. A consequência é que, como esses frameworks são amplamente reutilizados no ecossistema de IA, o risco de contaminação se torna sistêmico: um único componente vulnerável pode infectar inúmeros projetos derivados.

Impacto Potencial e Medidas Corretivas

Os servidores de inferência vulneráveis formam a espinha dorsal de muitas estruturas de IA corporativas, processando dados confidenciais, como prompts, pesos de modelos e informações de clientes. A Oligo identificou milhares de sockets ZeroMQ expostos na internet pública, alguns ligados a esses clusters de inferência. Uma exploração bem-sucedida dessas falhas poderia permitir que invasores executassem código arbitrário em clusters de GPU, escalassem privilégios, exfiltrassem dados confidenciais ou até mesmo instalassem mineradores de criptomoedas, transformando ativos de infraestrutura de IA em verdadeiros passivos.

Recomendações Cruciais para a Segurança da IA

Oligo Security enfatiza a importância de atualizar para as versões corrigidas dos frameworks afetados, incluindo Meta Llama Stack v.0.0.41, Nvidia TensorRT-LLM 0.18.2, vLLM v0.8.0 e Modular Max Server v25.6 ou posterior. Além disso, a empresa recomenda restringir o uso de ‘pickle’ com dados não confiáveis, adicionar autenticação HMAC e TLS à comunicação baseada em ZQ e, crucialmente, educar as equipes de desenvolvimento sobre os riscos inerentes a práticas de codificação descuidadas.

A lição que fica é clara: a segurança da inteligência artificial não é apenas uma questão de algoritmos complexos e firewalls robustos, mas também de higiene no código e de uma cultura de responsabilidade compartilhada entre os desenvolvedores. Em um mundo cada vez mais dependente da IA, a negligência com a segurança pode ter consequências devastadoras.