Эта уязвимость связана с фундаментальной ошибкой в десериализации моделей PyTorch, которые используют формат Pickle для хранения весов моделей и поддерживают загрузку через torch.load(). Чтобы предотвратить выполнение кода вредоносных моделей, официальная документация настоятельно рекомендует использовать параметр weights_only=True, который теоретически позволяет загружать только необработанные типы данных, такие как "словари, тензоры, списки".
ПРОРЫВ: Исследователь безопасности Цзянь Чжоу обнаружил, что "предохранитель" для этого параметра можно обойти. Злоумышленник может создать специально созданные файлы моделей, которые отключают механизм проверки десериализации, когда weights_only=True, чтобы выполнить произвольный код Python при загрузке модели, получив те же системные привилегии, что и процесс PyTorch.
Сцена нападения:
Заражение цепочки поставок: злоумышленники загружают предварительно обученные модели с бэкдорами в Hugging Face, которые разработчики загружают и интегрируют в свои приложения, автоматически вызывая RCE.
Латеральное перемещение облачных сред: скомпрометированные модели могут быть использованы в качестве трамплина для доступа к облачным хранилищам (S3, GCS) или учетным данным баз данных.
Опасности массового внедрения: миллионы пользователей PyTorch в таких ключевых областях, как автономное вождение, медицинская диагностика, финансовое моделирование и т. д.
Техническая глубина: Уязвимость заключается в том, что десериализатор Pickle последовательно интерпретирует опкоды и выполняет их, как только встречает вредоносную инструкцию, не дожидаясь полнотекстовой проверки. Злоумышленник может вставить вредоносную загрузку в начало файла, запустить код, а затем вставить байты, разрушающие структуру файла, избежав обнаружения средствами черных списков, такими как Picklescan.
Исправления и последствия: выпущен патч для PyTorch 2.6.0, но существует задержка в цикле обновления для предприятий. Рекомендации: Отключите модели из ненадежных источников, включите замену формата SafeTensors, внедрите проверку целостности файлов моделей (контрольные суммы хэшей) и изолируйте среды загрузки моделей.
