Los investigadores de ciberseguridad han descubierto vulnerabilidades críticas de ejecución remota de código que afectan a los principales motores de inferencia de inteligencia industrial (IA), incluidos los de Meta, Nvidia, Microsoft y proyectos de código descubierto PyTorch como vLLM y SGLang.
“Todas estas vulnerabilidades se remontan a la misma causa raíz: el uso inseguro de ZeroMQ (ZMQ) y la deserialización de pickle de Python”, dijo el investigador de Oligo Security, Avi Lumelsky, en un noticia publicado el jueves.
En esencia, el problema surge de lo que se ha descrito como un patrón llamado SombraMQen el que la método de deserialización insegura se ha propagado a varios proyectos como resultado de la reutilización del código.
La causa principal es una vulnerabilidad en el situación del maniquí de jerga sobresaliente (LLM) Vehemencia de Meta (CVE-2024-50050, puntuación CVSS: 6.3/9.3) que fue parcheado por la compañía en octubre pasado. Específicamente, implicó el uso del método recv_pyobj() de ZeroMQ para deserializar datos entrantes usando el módulo pickle de Python.
Esto, contiguo con el hecho de que el situación expuso el socket ZeroMQ a través de la red, abrió la puerta a un tablas en el que un atacante puede ejecutar código improcedente enviando datos maliciosos para su deserialización. El problema igualmente se solucionó en la biblioteca Python pyzmq.
Desde entonces, Oligo ha descubierto que el mismo patrón se repite en otros marcos de inferencia, como NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM y SGLang.
“Todos contenían patrones inseguros casi idénticos: deserialización de pickle sobre sockets TCP ZMQ no autenticados”, dijo Lumelsky. “Diferentes mantenedores y proyectos mantenidos por diferentes empresas, todos cometieron el mismo error”.
Al rastrear los orígenes del problema, Oligo descubrió que, al menos en algunos casos, era el resultado de copiar y pegar directamente el código. Por ejemplo, el archivo delicado en SGLang dice que está adaptado por vLLM, mientras que Modular Max Server ha tomado prestada la misma método tanto de vLLM como de SGLang, perpetuando efectivamente la misma equivocación en todas las bases de código.
A los problemas se les han asignado los siguientes identificadores:
- CVE-2025-30165 (Puntuación CVSS: 8,0) – vLLM (si perfectamente el problema no está solucionado, se solucionó cambiando al motor V1 de forma predeterminada)
- CVE-2025-23254 (Puntuación CVSS: 8.8) – NVIDIA TensorRT-LLM (corregido en la lectura 0.18.2)
- CVE-2025-60455 (Puntuación CVSS: N/A) – Servidor Modular Max (fijo)
- Sarathi-Serve (Permanece sin parchear)
- SGLang (correcciones incompletas implementadas)
Hexaedro que los motores de inferencia actúan como un componente crucial adentro de las infraestructuras de IA, un compromiso exitoso de un solo nodo podría permitir a un atacante ejecutar código improcedente en el clúster, ascender privilegios, realizar robo de modelos e incluso eliminar cargas bártulos maliciosas, como mineros de criptomonedas, para obtener ganancias financieras.
“Los proyectos avanzan a una velocidad increíble y es global pedir prestados componentes arquitectónicos a sus pares”, dijo Lumelsky. “Pero cuando la reutilización de código incluye patrones inseguros, las consecuencias se extienden rápidamente”.
La divulgación se produce cuando un nuevo noticia de la plataforma de seguridad de inteligencia industrial Knostic descubrió que es posible comprometer el nuevo navegador integrado de Cursor mediante técnicas de inyección de JavaScript, sin mencionar el uso de una extensión maliciosa para suministrar la inyección de JavaScript con el fin de tomar el control de la tiempo de trabajo del desarrollador.
El primer ataque implica registrar un servidor de protocolo de contexto maniquí (MCP) particular fraudulento que elude los controles de Cursor para permitir que un atacante reemplace las páginas de inicio de sesión adentro del navegador con una página falsa que recopila credenciales y las filtra a un servidor remoto bajo su control.
“Una vez que un beneficiario descargaba el servidor MCP y lo ejecutaba, usando un archivo mcp.json adentro de Cursor, inyectaba código en el navegador de Cursor que conducía al beneficiario a una página de inicio de sesión falsa, que robaba sus credenciales y las enviaba a un servidor remoto”, dijo el investigador de seguridad Dor Munis.
Hexaedro que el editor de código fuente impulsado por IA es esencialmente una cruce de Visual Studio Code, un mal actor igualmente podría crear una extensión maliciosa para inyectar JavaScript en el IDE en ejecución para ejecutar acciones arbitrarias, incluido marcar extensiones Open VSX inofensivas como “maliciosas”.
“JavaScript que se ejecuta adentro del intérprete Node.js, ya sea introducido por una extensión, un servidor MCP o un mensaje o regla envenenada, hereda inmediatamente los privilegios del IDE: entrada completo al sistema de archivos, la capacidad de modificar o reemplazar funciones IDE (incluidas las extensiones instaladas) y la capacidad de persistir el código que se vuelve a adjuntar a posteriori de un reinicio”, dijo la compañía.
“Una vez que la ejecución a nivel de intérprete está apto, un atacante puede convertir el IDE en una plataforma de exfiltración y distribución de malware”.
Para contrarrestar estos riesgos, es esencial que los usuarios deshabiliten las funciones de ejecución cibernética en sus IDE, revisen las extensiones, instalen servidores MCP de desarrolladores y repositorios confiables, verifiquen a qué datos y API acceden los servidores, usen claves API con los permisos mínimos requeridos y auditen el código fuente del servidor MCP para integraciones críticas.
