У відкритій робототехнічній платформі LeRobot від Hugging Face, яка вже зібрала майже 24 000 зірок на GitHub і активно використовується для досліджень у сфері штучного інтелекту та робототехніки, виявлено критичну уразливість CVE-2026-25874 з рейтингом CVSS 9,3. Помилка дозволяє неавтентифікованому зловмиснику виконати довільний код на сервері або клієнті, що безпосередньо загрожує як даним, так і фізичній безпеці середовищ, де працюють роботи.
Критична уразливість CVE-2026-25874 у LeRobot: суть проблеми
Уразливість у LeRobot пов’язана з небезпечною десеріалізацією даних у асинхронному inference‑пайплайні. Компонент policy server та клієнт робота обробляють вхідні gRPC‑повідомлення за допомогою функції pickle.loads(), причому без обов’язкової автентифікації та без шифрування TLS. Тобто сервіс довіряє будь-якому двійковому вмісту з мережі, наче він надходить із повністю контрольованого джерела.
Згідно з advisory на GitHub, атакувальник, який має мережевий доступ до цих gRPC‑інтерфейсів, може надіслати спеціально сформований pickle‑об’єкт у викликах SendPolicyInstructions, SendObservations або GetActions і досягти віддаленого виконання довільного коду (RCE) у контексті процесу LeRobot.
Технічні деталі: небезпечна десеріалізація pickle та відкриті gRPC‑канали
Як атакують PolicyServer у Hugging Face LeRobot
За оцінкою дослідників Resecurity, корінь проблеми — у компоненті PolicyServer, який відповідає за асинхронний inference політик керування роботами. Він приймає серіалізовані дані від зовнішніх клієнтів і одразу розпаковує їх через pickle.loads(). Формат pickle історично не призначений для обробки недовірених даних: при десеріалізації він може виконувати довільний Python‑код, вбудований у об’єкт.
Практично це означає, що зловмисник може вбудувати у pickle‑навантаження системні команди або шкідливий Python‑скрипт. Щойно LeRobot десеріалізує цей об’єкт, код виконається на хості. У типовій інфраструктурі це сервери з GPU/TPU, які мають доступ до внутрішніх мереж, конфіденційних датасетів та інших високочутливих ресурсів.
Ризики для інфраструктури штучного інтелекту та робототехніки
Особливу небезпеку CVE-2026-25874 становить через те, що сервіси для ІІ‑інференсу часто запускаються з розширеними правами і розміщуються у захищених сегментах корпоративної мережі. Успішна експлуатація уразливості дає атакувальнику можливість:
- отримати повний контроль над вузлом, що виконує inference та керує роботами;
- розширити доступ до внутрішніх сервісів і сегментів мережі через скомпрометований хост;
- красти, модифікувати або знищувати тренувальні й робочі датасети моделей;
- перенаправити GPU/CPU‑ресурси на майнінг криптовалют чи проведення подальших атак;
- маніпулювати поведінкою роботів шляхом підміни політик, спостережень і дій.
Для робототехніки це виходить за межі «звичайної» втрати даних. Компрометований робот у промисловому, логістичному чи медичному середовищі створює реальний фізичний ризик для обладнання, персоналу й пацієнтів. Інцидент RCE у подібних системах може призвести до аварій, зупинки виробництва або порушення безпеки людей.
Хто виявив CVE-2026-25874 та як реагує команда LeRobot
Уразливість CVE-2026-25874 була ідентифікована фахівцем із безпеки Валентеном Лобстеном із VulnCheck. Він опублікував технічний розбір і продемонстрував експлуатацію на версії LeRobot 0.4.3. На момент підготовки матеріалу виправлення ще не випущене; розробники анонсували патч у гілці версії 0.6.0.
Цікаво, що подібний дефект незалежно повідомив ще один дослідник під псевдонімом «chenpinji» у грудні 2025 року. Команда LeRobot у січні офіційно визнала серйозність ризику й зазначила, що відповідний блок коду мав експериментальний характер і потребує майже повної переробки.
Технічний лідер проєкту Стівен Пальма наголосив, що LeRobot історично позиціонувався як інструмент для досліджень та прототипування, а не як готовий «production‑grade» фреймворк. У міру того, як платформа все частіше потрапляє в бойові середовища, безпека стає пріоритетом, а відкритий код дозволяє спільноті швидше виявляти та усувати вразливості.
Pickle під прицілом: Safetensors, формати даних та уроки для ІІ‑розробників
Інцидент із CVE-2026-25874 ще раз підкреслює загальний принцип: pickle неприйнятний для обробки даних з недовірених джерел. Будь-який файл, повідомлення або мережевий потік, який десеріалізується без суворої валідації й ізоляції, може стати вектором RCE‑атаки.
Ситуація отримала додатковий резонанс, оскільки саме Hugging Face раніше запропонувала формат Safetensors як безпечнішу альтернативу pickle для зберігання моделей та ваг машинного навчання. На цьому тлі використання pickle.loads() у LeRobot для даних, що надходять по мережі, ще й із придушенням попереджень статичного аналізу, виглядає особливо показово.
Рекомендації для організацій, що використовують LeRobot та подібні фреймворки
Компаніям, які вже експлуатують або тестують LeRobot та інші ІІ‑платформи, варто негайно переглянути свою модель загроз і конфігурацію середовища. Серед першочергових заходів:
- обмежити мережевий доступ до PolicyServer і gRPC‑інтерфейсів (VPN, сегментація, ACL);
- увімкнути шифрування та автентифікацію каналів (TLS/mTLS, захищені токени, mutual auth);
- застосовувати принцип найменших привілеїв до сервісних облікових записів і контейнерів з inference‑сервісами;
- перейти з pickle на безпечні формати (JSON, Protobuf, CBOR, Safetensors тощо) для будь-якого користувацького або мережевого вводу;
- організувати моніторинг аномальних запитів, спроб десеріалізації та запуску сторонніх процесів на вузлах з GPU.
Інцидент із CVE-2026-25874 показує, що безпека має бути невід’ємною частиною життєвого циклу систем штучного інтелекту та робототехніки, а не «доповненням» до вже готових рішень. Чим раніше розробники й організації відмовляться від небезпечних практик на кшталт десеріалізації pickle з мережі, впровадять захищені формати даних, шифрування й сегментацію мереж, тим менша ймовірність, що наступна критична уразливість у ІІ‑фреймворку перетвориться на реальний інцидент із фінансовими й фізичними наслідками. Це слушний момент, щоб провести аудит власних ІІ‑сервісів, оновити політики безпеки та закласти «secure‑by‑design» як стандарт для всіх нових проєктів у сфері штучного інтелекту та робототехніки.
