SchwachstellenCyberkriminalitätKI-Sicherheit

Kritische Sicherheitslücke in Hugging Face LeRobot: Unauthentisierte Remote-Code-Execution möglich

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Hugging Face LeRobot: Unauthentisierte Remote-Code-Execution möglich
Zusammenfassung

Eine kritische Sicherheitslücke in LeRobot, Hugging Faces quelloffener Robotik-Plattform mit knapp 24.000 GitHub-Sternen, ermöglicht es Angreifern, unauthentifiziert Fernzugriff auf Systeme zu erlangen. Die Schwachstelle CVE-2026-25874 (CVSS-Score: 9,3) basiert auf unsicherer Daten-Deserialisierung durch die Verwendung des pickle-Formats, das es Angreifern ermöglicht, über unauthentifizierte gRPC-Kanäle beliebige Code-Befehle auf Servern und Clienten auszuführen. Besonders kritisch ist die Situation, da die Policy-Server-Komponente ohne TLS-Verschlüsselung arbeitet und sich auf Netzwerkebene erreichen lässt. Für deutsche Unternehmen und Forschungseinrichtungen, die LeRobot in Produktionsumgebungen oder zur Robotik-Entwicklung einsetzen, stellt dies eine erhebliche Bedrohung dar – insbesondere für KI-Systeme, die häufig mit erhöhten Privilegien laufen und Zugang zu sensiblen Datenbeständen und internen Netzwerken haben. Die Sicherheitslücke betrifft aktuell Version 0.4.3 und bleibt bis zur geplanten Behebung in Version 0.6.0 ungepatcht. Besonders ironisch: Hugging Face entwickelte ursprünglich Safetensors genau deshalb, weil pickle grundsätzlich unsicher ist – ein Fehler, den das eigene Robotik-Framework nun wiederholt.

Die Sicherheitsforscher von Resecurity und VulnCheck haben Details einer kritischen Schwachstelle in LeRobot öffentlich gemacht, die das System für Remote-Code-Execution-Angriffe anfällig macht. Die Plattform, die auf GitHub mit knapp 24.000 Sternen bewertet wird, wird zur Steuerung und Programmierung von Robotersystemen mittels künstlicher Intelligenz verwendet.

Das Kernproblem: Unsichere Pickle-Deserialisierung

Die Schwachstelle CVE-2026-25874 basiert auf der Verwendung des Pickle-Formats zum Deserialisieren von Daten. Der PolicyServer und die Robot-Client-Komponenten von LeRobot nutzen pickle.loads(), um Daten zu verarbeiten, die über unauthentisierte gRPC-Kanäle ohne TLS-Verschlüsselung übertragen werden. Ein Angreifer kann durch gezielt präparierte Pickle-Payloads über die gRPC-Aufrufe SendPolicyInstructions, SendObservations oder GetActions beliebigen Code auf dem Host-System ausführen.

Besonders kritisch ist die Tatsache, dass LeRobot-Systeme typischerweise mit erhöhten Berechtigungen laufen, um auf interne Netzwerke, Datensätze und teure Rechenressourcen zuzugreifen. Eine erfolgreiche Kompromittierung würde Angreifern umfassende Kontrolle über diese Infrastruktur ermöglichen.

Entdeckung und aktueller Status

Der Sicherheitsforscher Valentin Lobstein von VulnCheck entdeckte die Lücke und validierte sie gegen LeRobot Version 0.4.3. Parallel meldete ein anderer Forscher unter dem Pseudonym “chenpinji” die gleiche Schwachstelle bereits im Dezember 2025. Das Hugging-Face-Team bestätigte das Problem im Januar 2026 und kündigte einen Fix für Version 0.6.0 an – bis dahin bleibt die Lücke ungepflastert. Steven Palma, technischer Leiter des Projekts, räumte ein, dass LeRobot bislang primär als Forschungs- und Prototyping-Tool gedient habe und Deployment-Sicherheit nicht im Fokus stand.

Die Ironie der Geschichte

Besonders brisant ist die Ironie, die Lobstein hervorhebt: Hugging Face entwickelte das Format Safetensors speziell deshalb, weil Pickle unsicher für ML-Daten ist. Dennoch nutzt das eigene LeRobot-Framework genau dieses gefährliche Format für die Deserialisierung von Daten aus dem Netzwerk. Sicherheitswarnungen wurden sogar mit “# nosec”-Kommentaren ignoriert.

Deutsche Organisationen sollten LeRobot-Installationen umgehend überprüfen und das System vom direkten Internet-Zugriff abschirmen, bis ein Patch verfügbar ist.

Ähnliche Artikel