Se ha revelado una vulnerabilidad crítica de ejecución remota de código (RCE) sin parchear actualmente en LeRobot, el popular framework de código abierto de aprendizaje automático de Hugging Face para robótica en el mundo real.

Registrada como CVE-2026-25874 con una puntuación CVSS crítica de 9.3, la falla permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema en máquinas host vulnerables.

Con casi 24.000 estrellas en GitHub, esta vulnerabilidad representa un riesgo grave para la infraestructura de IA, robots conectados y datos propietarios sensibles.

Deserialización insegura con Pickle

Según la prueba de concepto detallada publicada por Chocapikk, la falla reside en el módulo de inferencia asíncrona, que descarga cálculos pesados a un servidor GPU.

Los componentes PolicyServer y RobotClient utilizan el módulo nativo pickle de Python para deserializar datos transmitidos a través de canales gRPC sin autenticación.

Debido a que el servidor gRPC usa add_insecure_port() sin Transport Layer Security (TLS) ni autenticación, cualquier persona con acceso a la red puede conectarse directamente al servicio.

Al enviar una carga útil serializada maliciosa a través de manejadores RPC como SendPolicyInstructions o SendObservations, los atacantes pueden desencadenar la ejecución automática de código arbitrario.

La carga maliciosa se ejecuta inmediatamente durante el proceso pickle.loads(), mucho antes de que el sistema realice cualquier validación del tipo de datos.

Explotar esta vulnerabilidad no requiere credenciales ni cadenas de ataque complejas.

Dado que los servidores de inferencia de IA suelen ejecutarse con privilegios elevados para gestionar recursos GPU costosos y conjuntos de datos masivos, una brecha exitosa es devastadora.

Los atacantes podrían obtener control administrativo completo sobre la máquina host.

Podrían moverse lateralmente a través de la red interna, corromper modelos de aprendizaje automático, exfiltrar claves API de Hugging Face y potencialmente sabotear las operaciones físicas de robots conectados.

La vulnerabilidad afecta activamente a las versiones de LeRobot hasta la 0.5.1.

Los investigadores de seguridad de Chocapikk destacaron una ironía evidente en este código: Hugging Face desarrolló originalmente el formato safetensors específicamente para eliminar los graves riesgos de seguridad asociados con la serialización con pickle.

A pesar de crear esta alternativa segura, los desarrolladores de LeRobot utilizaron el formato inseguro pickle por conveniencia.

Además, Chocapikk descubrió que el código fuente contenía etiquetas # nosec justo al lado de las llamadas pickle.loads().

Estos comentarios se colocaron deliberadamente para suprimir las advertencias de los linters de seguridad automatizados que detectaron con precisión la vulnerabilidad durante el desarrollo.

Estrategias de mitigación

Se planea un parche permanente que reemplace pickle con safetensors y JSON para la versión 0.6.0 de LeRobot.

Hasta que se implemente esta solución oficial, las organizaciones deben aplicar medidas defensivas inmediatas:

• Restringe el acceso a la red para garantizar que el servidor de inferencia asíncrona de LeRobot nunca esté expuesto a redes no confiables o a internet público.
• Vincula el servidor estrictamente a localhost en lugar de 0.0.0.0 para bloquear todos los intentos de conexión externa.
• Implementa pasarelas API robustas, VPNs y firewalls a nivel de red para exigir autenticación estricta antes de que el tráfico llegue al puerto gRPC.

Fuentes: