В открытой робототехнической платформе LeRobot от Hugging Face обнаружена критическая уязвимость CVE-2026-25874 с оценкой CVSS 9,3, позволяющая злоумышленнику удалённо выполнять произвольный код на сервере или клиенте. Платформа, набравшая почти 24 000 звёзд на GitHub, активно используется для исследований и прототипирования систем искусственного интеллекта в робототехнике, что делает проблему особенно значимой для сообщества.
Критическая уязвимость CVE-2026-25874 в LeRobot
Суть уязвимости связана с небезопасной десериализацией данных в асинхронном inference-пайплайне LeRobot. В компонентах policy server и клиенте робота используется функция pickle.loads() для обработки входящих сообщений по gRPC‑каналам без аутентификации и без шифрования TLS. Иначе говоря, сервис доверяет двоичным данным из сети так, как если бы они были безопасными и контролируемыми.
Согласно описанию в официальном advisory на GitHub, неаутентифицированный удалённый атакующий, имеющий сетевой доступ к этим gRPC‑интерфейсам, может передать специально сформированный pickle‑объект через вызовы SendPolicyInstructions, SendObservations или GetActions и добиться выполнения произвольного кода в контексте уязвимого процесса.
Как работает атака: небезопасная десериализация pickle
Исследователи из Resecurity уточняют, что проблема коренится в компоненте PolicyServer, отвечающем за асинхронный inference. Этот сервер принимает сериализованные данные, в том числе от внешних клиентов. Использование pickle для таких данных критично опасно: формат изначально не предназначен для обработки недоверенных входов и позволяет при загрузке выполнять произвольный Python‑код.
На практике это означает, что злоумышленник может отправить вредоносный сериализованный объект, а при его десериализации запустятся произвольные системные команды на хосте, где работает LeRobot. При типичных сценариях развёртывания это серверы с ускорителями (GPU/TPU), имеющие доступ к внутренним сетям, приватным датасетам и другим чувствительным ресурсам.
Почему риск особенно высок для ИИ‑систем и робототехники
Resecurity подчёркивает, что уязвимость особенно опасна, поскольку сервисы для ИИ‑инференса часто запускаются с расширенными правами и располагаются в доверенных сегментах инфраструктуры. В случае эксплуатации CVE-2026-25874 атакующий потенциально получает:
- полный контроль над узлом, выполняющим inference;
- доступ к внутренним сервисам и сетевым сегментам через скомпрометированный хост;
- возможность кражи или подмены обучающих и рабочих датасетов;
- использование дорогих вычислительных ресурсов (GPU/CPU) для майнинга или последующих атак;
- манипуляцию поведением роботов и автономных систем путём подмены политик и действий.
В контексте робототехники это не только риск утечки данных, но и потенциальное физическое воздействие на окружающую среду через компрометированные роботы, особенно если они работают в промышленности, логистике или медицинских сценариях.
Кто обнаружил уязвимость и как реагирует проект LeRobot
Уязвимость обнаружил исследователь безопасности из VulnCheck Валентен Лобстен, который опубликовал технический разбор и подтвердил эксплуатацию на версии LeRobot 0.4.3. На момент публикации исправление ещё не выпущено; по планам разработчиков, патч ожидается в ветке версии 0.6.0.
Интересно, что аналогичный дефект ранее, в декабре 2025 года, независимо сообщил исследователь под псевдонимом «chenpinji». Команда LeRobot в январе признала наличие существенного риска и отметила, что соответствующая часть кода изначально имела экспериментальный характер и требует практически полной переработки.
Технический лидер проекта Стивен Пальма подчеркнул, что LeRobot до сих пор рассматривался в первую очередь как исследовательский и прототипный инструмент, поэтому вопросы защищённого продакшн‑развёртывания не были в центре внимания. По его словам, по мере внедрения LeRobot в боевые среды приоритет безопасности будет расти, а открытая модель разработки позволит сообществу активнее выявлять и устранять уязвимости.
Pickle под огнём критики и ирония вокруг Hugging Face
Случай с CVE-2026-25874 ещё раз демонстрирует, насколько опасно использовать pickle для данных из недоверенных источников. Любой файл или сетевой поток, который десериализуется без строгой валидации и изоляции, может стать вектором для атак с удалённым выполнением кода.
Отдельный резонанс вызывает тот факт, что именно Hugging Face ранее создала формат Safetensors как безопасную альтернативу pickle для хранения моделей и данных машинного обучения. На этом фоне особенно показательно, что в робототехническом фреймворке компании используется pickle.loads() для обработки данных, поступающих по сети, причём с подавлением предупреждений инструментов статического анализа.
Для разработчиков ИИ‑платформ вывод очевиден: использование pickle допустимо только для полностью доверенной среды и никогда — для пользовательского или сетевого ввода. Предпочтительны форматы, не поддерживающие выполнение кода (JSON, Protobuf, CBOR, Safetensors и др.), а также строгая аутентификация и шифрование каналов связи (TLS, mTLS).
Организациям, внедряющим LeRobot и аналогичные решения, следует уже сейчас пересмотреть конфигурации, ограничить сетевой доступ к PolicyServer, включить шифрование трафика, применять принцип наименьших привилегий к сервисным учетным записям и организовать мониторинг подозрительной активности. Чем раньше вопросы безопасности станут неотъемлемой частью жизненного цикла ИИ‑робототехники, тем меньше шансов, что критическая уязвимость превратится в реальный инцидент.
