La plataforma de robótica abierta LeRobot, desarrollada por Hugging Face y con cerca de 24 000 estrellas en GitHub, se ha visto afectada por una vulnerabilidad crítica identificada como CVE-2026-25874. El fallo, con una puntuación CVSS 9,3, permite a un atacante remoto ejecutar código arbitrario tanto en el servidor de políticas como en los clientes robóticos, con un impacto potencialmente severo en entornos de inteligencia artificial y robótica.
Descripción de CVE-2026-25874: deserialización insegura con pickle en LeRobot
La vulnerabilidad está causada por un problema de deserialización insegura de datos en el pipeline de inferencia asíncrona de LeRobot. Los componentes PolicyServer y el cliente del robot procesan mensajes recibidos por canales gRPC sin autenticación ni cifrado TLS, utilizando directamente la función pickle.loads() sobre datos binarios provenientes de la red.
En la práctica, esto implica que el servicio confía plenamente en la carga recibida, como si fuera de una fuente interna y controlada. De acuerdo con el aviso oficial publicado en GitHub, un atacante remoto no autenticado con acceso a estos interfaces gRPC puede enviar un objeto pickle especialmente manipulado mediante las llamadas SendPolicyInstructions, SendObservations o GetActions, logrando así ejecución remota de código (RCE) en el contexto del proceso vulnerable.
Cómo se explota el fallo: riesgos de usar pickle con datos no confiables
Investigadores de Resecurity han precisado que el origen del problema reside en el componente PolicyServer, responsable de coordinar la inferencia asíncrona. Este servidor acepta datos serializados desde clientes externos y los deserializa con pickle. Sin embargo, el formato pickle no está diseñado para manejar entradas no confiables: su mecanismo de deserialización permite ejecutar código Python al reconstruir objetos.
Esto ofrece al atacante la posibilidad de enviar un objeto malicioso que, al ser deserializado, ejecute comandos del sistema en el host que ejecuta LeRobot. Dado que normalmente se trata de servidores con GPU o TPU, integrados en redes internas y con acceso a datasets privados, la superficie de ataque es especialmente atractiva para cibercriminales.
Impacto en infraestructuras de IA y robótica: del acceso a datos al riesgo físico
Resecurity destaca que la amenaza se agrava porque los servicios de inferencia de IA suelen operar con privilegios elevados y en segmentos de red de alta confianza. La explotación de CVE-2026-25874 puede traducirse en:
- Control total del nodo de inferencia, incluyendo instalación de malware o puertas traseras.
- Movimiento lateral hacia otros servicios internos y segmentos de red conectados.
- Robo, borrado o manipulación de datasets de entrenamiento y producción.
- Abuso de recursos de cómputo (GPU/CPU) para criptominería o campañas de ataque.
- Alteración del comportamiento de robots mediante la modificación de políticas y acciones generadas.
En sistemas robóticos desplegados en entornos industriales, logísticos o sanitarios, este escenario no se limita a la fuga de información: existe un riesgo real de impacto físico sobre personas, instalaciones o cadenas de producción, si un robot pasa a ejecutar órdenes manipuladas por un atacante.
Descubrimiento, versiones afectadas y respuesta del proyecto LeRobot
La vulnerabilidad fue identificada por el investigador de seguridad de VulnCheck Valentin Lobstein, quien ha publicado un análisis técnico y una prueba de concepto funcional sobre LeRobot 0.4.3. Según el propio proyecto, la corrección está prevista para la rama de la versión 0.6.0, aún en desarrollo en el momento de redactar este análisis.
Previamente, en diciembre de 2025, un investigador bajo el seudónimo «chenpinji» había notificado de forma independiente un defecto similar. El equipo de LeRobot reconoció en enero que la parte afectada del código tenía carácter experimental y requería una rearquitectura casi completa para cumplir con requisitos de producción.
El líder técnico del proyecto, Steven Palma, ha señalado que LeRobot se ha concebido principalmente como una plataforma de investigación y prototipado, por lo que la seguridad de despliegues productivos no era una prioridad inicial. A medida que la herramienta se adopta en entornos críticos, el equipo planea reforzar los controles de seguridad y aprovechar el modelo de desarrollo abierto para detectar y corregir vulnerabilidades de forma colaborativa.
La paradoja de pickle en un ecosistema que promueve Safetensors
El caso CVE-2026-25874 pone nuevamente en el centro del debate la peligrosidad de usar pickle con entradas no confiables. Organizaciones como OWASP llevan años señalando la deserialización insegura como una de las categorías de riesgo más críticas, precisamente por su capacidad de derivar en ejecución remota de código.
La situación es especialmente llamativa porque la propia Hugging Face impulsó el formato Safetensors como alternativa segura a pickle para almacenar modelos y pesos de aprendizaje automático, al evitar la ejecución de código durante la carga. Sin embargo, en LeRobot se recurre a pickle.loads() sobre datos recibidos por la red, incluso ignorando advertencias de herramientas de análisis estático, lo que contraviene las buenas prácticas básicas de seguridad en desarrollo.
Recomendaciones de seguridad para LeRobot y otras plataformas de IA
Para responsables de seguridad y equipos de ingeniería, las lecciones clave son claras:
- No usar pickle (ni mecanismos equivalentes) con datos procedentes de usuarios o de la red. Optar por formatos que no permitan ejecución de código, como JSON, Protobuf, CBOR o Safetensors.
- Proteger los canales gRPC con TLS o mTLS, autenticación fuerte y control de acceso basado en roles.
- Aplicar el principio de mínimo privilegio a los servicios de inferencia y a las cuentas de servicio asociadas.
- Segmentar la red para aislar nodos de IA y robótica de otros sistemas críticos.
- Implementar monitorización y detección de anomalías para identificar comandos inusuales, tráfico sospechoso y uso anómalo de GPU/CPU.
- Mantener un proceso de gestión de parches ágil y probar de forma regular la exposición de interfaces como PolicyServer.
La adopción masiva de plataformas de IA y robótica convierte vulnerabilidades como CVE-2026-25874 en un vector de riesgo estratégico. Incorporar la seguridad por diseño en todo el ciclo de vida —desde el prototipo hasta el despliegue en producción— resulta esencial para evitar que fallos de programación aparentemente “experimentales” acaben convertidos en incidentes graves. Revisar arquitecturas, eliminar el uso inseguro de pickle y fortalecer la protección de servicios de inferencia son pasos inmediatos que cualquier organización debería considerar para elevar de forma tangible su nivel de ciberseguridad.
