Descoberta e escopo
Pesquisadores da JFrog identificaram três falhas críticas em PickleScan que afetam o mecanismo de análise de modelos salvos no formato pickle e que foram relatadas ao mantenedor em 29 de junho de 2025. As falhas receberam os identificadores CVE‑2025‑10155, CVE‑2025‑10156 e CVE‑2025‑10157, todas com pontuação CVSS 9.3 e classificadas como críticas. A correção foi disponibilizada na versão 0.0.31, publicada em 2 de setembro de 2025.
Abordagem técnica
As três vulnerabilidades exploram diferentes pontos cegos do processo de inspeção:
- CVE‑2025‑10155 (File Extension Bypass): um arquivo pickle malicioso renomeado para extensões típicas de PyTorch (por exemplo, .pt ou .bin) pode confundir PickleScan, que deixa de analisar corretamente o conteúdo, enquanto PyTorch continua a carregar e executar o arquivo.
- CVE‑2025‑10156 (CRC Bypass in ZIP Archives): um arquivo ZIP com CRCs corrompidos pode provocar falha ou encerramento do analisador de PickleScan, mas o mesmo arquivo pode ainda ser carregado pelo runtime do PyTorch a partir do mesmo arquivo compactado, criando uma janela em que o modelo malicioso não é inspecionado.
- CVE‑2025‑10157 (Unsafe Globals Bypass): a lógica de bloqueio de módulos “perigosos” pode ser contornada por meio de subclasses ou importações internas que evitam o rótulo de “Dangerous”, resultando em um diagnóstico apenas como “Suspicious” quando o arquivo pode, na prática, executar comandos arbitrários.
Impacto e alcance
PickleScan é amplamente adotado na cadeia de fornecimento de modelos de machine learning e é usado por plataformas e empresas para reduzir o risco de modelos que executam código quando carregados. Como o formato pickle permite execução de código arbitrário durante o load, falhas que permitem evitar inspeção representam um risco direto de supply‑chain: modelos aparentemente inofensivos podem incluir comandos para roubo de dados, instalação de backdoors ou escalada de acesso quando carregados por ambientes que usam PyTorch.
Mitigações e recomendações
As correções formais foram publicadas na versão 0.0.31 do PickleScan, lançada em 2 de setembro de 2025; usuários e infraestruturas que dependem de PickleScan devem atualizar imediatamente para essa versão. Além da atualização, as fontes recomendam medidas adicionais:
- Evitar sempre que possível o uso de modelos baseados em pickle; preferir formatos mais seguros, como Safetensors, quando compatível.
- Aplicar defesa em profundidade: executar análise em sandboxes e verificações em múltiplas camadas antes do deploy em produção.
- Gerenciar repositórios de modelos de forma centralizada e confiar apenas em fontes verificadas.
Limites das informações
As publicações descrevem os vetores e os CVEs e informam a data do relatório e da correção, mas não detalham explorações em massa confirmadas em ambientes de produção nem a existência de campanhas ativas que tenham usado essas falhas antes da correção. As fontes também não trazem números de sistemas afetados.
Relevância para times de segurança
Equipes que integram fluxos de ML ao CI/CD devem tratar essa notificação como urgente: atualizar o PickleScan, auditar processos de ingestão de modelos, reforçar controles sobre quem pode adicionar modelos a repositórios compartilhados e revisar regras de sandboxing e de quarentena para artefatos de ML.
Resumo técnico
- Vulnerabilidades: CVE‑2025‑10155, CVE‑2025‑10156, CVE‑2025‑10157 (CVSS 9.3).
- Correção: PickleScan 0.0.31 (2/9/2025).
- Mitigações adicionais: Safetensors, sandboxes, repositórios confiáveis.