Vulnerabilidades em Motores de IA: Um Problema de Segurança Crítico

Recentemente, pesquisadores de cibersegurança da Oligo descobriram vulnerabilidades críticas de execução de código remoto em motores de inferência de inteligência artificial (IA), afetando tecnologias de grandes empresas como Meta, Microsoft e Nvidia, além de projetos open-source como PyTorch. Essas brechas de segurança podem permitir que hackers executem códigos arbitrários, aumentem privilégios, roubem modelos e enviem agentes maliciosos para dentro das LLMs (Large Language Models).

A raiz do problema foi identificada como uma vulnerabilidade no framework da LLM da Meta, Llama, que foi corrigida em outubro deste ano. No entanto, a falha se propagou para outros projetos devido à reutilização de códigos, criando um padrão chamado ShadowMQ. Isso ocorreu devido ao uso inseguro e descuidado do ZeroMQ e da desserialização de pickle do Python.

• CVE-2025-30165 (score CVSS: 8,0) – vLLM (não corrigida, retornou à engine V1 até a correção)
• CVE-2025-23254 (CVSS: 8,8) – NVIDIA TensorRT-LLM (corrigida na versão 0.18.2)
• CVE-2025-60455 (CVSS score: N/A) – Modular Max Server (corrigida)
• Sarathi-Serve (sem correção)
• SGLang (correções incompletas)

Essas vulnerabilidades são particularmente preocupantes, pois os motores de inferência são componentes cruciais de infraestruturas de IA. Comprometer um único nódulo pode permitir que hackers executem códigos, aumentem privilégios, roubem modelos e enviem agentes maliciosos para dentro das LLMs.

É fundamental que as empresas e desenvolvedores de IA tomem medidas para corrigir essas vulnerabilidades e garantir a segurança de suas infraestruturas. Além disso, é importante que os usuários fiquem atentos às atualizações de segurança e sigam as melhores práticas para proteger suas informações e sistemas.

Este conteúdo pode conter links de compra.

Fonte: link