4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a pyTorch.
Três vulnerabilidades críticas em PickleScan (CVE‑2025‑10155/56/57, CVSS 9.3) permitiam que modelos PyTorch em formato pickle fossem carregados sem análise, abrindo possibilidade de execução arbitrária de código. JFrog relatou os bugs; correção disponível na versão 0.0.31 (02/09/2025). Atualize e aplique sandboxes e formatos mais seguros.
Três falhas críticas em Picklescan permitem execução de código ao carregar modelos PyTorch não confiáveis, contornando proteções do scanner; recomenda-se isolar carregamentos e validar proveniência de modelos.
A vulnerabilidade CVE-2025-62164 em vLLM (>= 0.10.2) permite corrupção de memória e potencial execução remota via desserialização de tensores em torch.load(); CVSS 8.8 — correção disponível em PR #27204.
Pesquisadores identificaram vulnerabilidades críticas de execução remota de código em motores de inference de IA usados por Meta, Nvidia, Microsoft e projetos PyTorch como vLLM e SGLang. O problema foi atribuído ao uso inseguro de ZeroMQ combinado com desserialização via pickle, mas as fontes não detalham CVEs, versões afetadas ou mitigação oficial.