Ungepatchte kritische Lücke macht Hugging Faces LeRobot anfällig für unauthentifizierte RCE

Zusammenfassung

Sicherheitsforscher haben Details zu einer kritischen Schwachstelle in LeRobot offengelegt, der quelloffenen Robotik-Plattform von Hugging Face, die auf GitHub fast 24.000 Sterne zählt. Die als CVE-2026-25874 geführte Lücke erreicht einen CVSS-Wert von 9.3 und lässt sich für entfernte Codeausführung ausnutzen. Ursache ist eine unsichere Deserialisierung nicht vertrauenswürdiger Daten durch den Einsatz des als gefährlich geltenden pickle-Formats. Laut einem GitHub-Advisory tritt das Problem in der asynchronen Inferenz-Pipeline auf: Dort verarbeitet pickle.loads() Daten, die über unauthentifizierte gRPC-Kanäle ohne TLS in den Komponenten Policy-Server und Robot-Client eintreffen. Ein unauthentifizierter, über das Netzwerk erreichbarer Angreifer kann nach dieser Beschreibung beliebigen Code auf Server oder Client ausführen, indem er eine präparierte pickle-Nutzlast über die gRPC-Aufrufe SendPolicyInstructions, SendObservations oder GetActions sendet. Eine Korrektur ist erst für Version 0.6.0 vorgesehen; bislang bleibt die Lücke ungepatcht.

Nach Angaben von Resecurity liegt die Wurzel des Problems in der PolicyServer-Komponente der asynchronen Inferenz. Ein Angreifer, der den Netzwerkport des PolicyServer erreicht, kann eine bösartige serialisierte Nutzlast schicken und damit beliebige Betriebssystembefehle auf dem Host ausführen, der den Dienst betreibt – ganz ohne vorherige Authentifizierung.

Resecurity stuft die Lücke als besonders gefährlich ein, weil der Dienst für KI-Inferenzsysteme gedacht ist. Solche Systeme laufen häufig mit erhöhten Rechten, um auf interne Netzwerke, Datensätze und kostspielige Rechenressourcen zuzugreifen. Wird die Schwachstelle ausgenutzt, eröffnet sich dem Angreifer entsprechend eine breite Palette an Handlungsmöglichkeiten.

Der VulnCheck-Sicherheitsforscher Valentin Lobstein, der die Schwachstelle entdeckte und kürzlich zusätzliche Details veröffentlichte, hat sie erfolgreich gegen LeRobot in Version 0.4.3 verifiziert. Bemerkenswert ist, dass dieselbe Lücke bereits zuvor unabhängig von einem Forscher unter dem Pseudonym „chenpinji" gemeldet wurde. Das LeRobot-Team reagierte darauf, erkannte das Sicherheitsrisiko an und merkte an, „dass dieser Teil der Codebasis nahezu vollständig überarbeitet werden muss, da seine ursprüngliche Implementierung eher experimentell angelegt war".

„LeRobot war bislang in erster Linie ein Werkzeug für Forschung und Prototyping, weshalb die Sicherheit beim Einsatz bisher kein starker Schwerpunkt war", erklärte Steven Palma, technischer Leiter des Projekts. Mit zunehmender Verbreitung und produktivem Einsatz wolle man derartigen Fragen deutlich mehr Aufmerksamkeit widmen. Als Open-Source-Projekt könne zudem die Community helfen, Schwachstellen zu melden und zu beheben.

Der Fall führt erneut die Gefahren des pickle-Formats vor Augen, da bereits das Laden einer speziell präparierten Datei zur Ausführung beliebigen Codes führen kann. Lobstein verwies dabei auf eine besondere Ironie: Hugging Face habe mit Safetensors selbst ein Serialisierungsformat geschaffen, gerade weil pickle für ML-Daten gefährlich sei. Dennoch deserialisiere das eigene Robotik-Framework über pickle.loads() von Angreifern kontrollierte Netzwerkdaten – und unterdrücke mit „# nosec"-Kommentaren ausgerechnet das Werkzeug, das davor warnen sollte.

Ungepatchte kritische Lücke macht Hugging Faces LeRobot anfällig für unauthentifizierte RCE

Ähnliche Artikel

Neueste Artikel