Los investigadores de ciberseguridad han descubierto vulnerabilidades críticas de ejecución remota de código que afectan a los principales motores de inferencia de inteligencia artificial (IA), incluidos los de Meta, Nvidia, Microsoft y proyectos PyTorch de código abierto como vLLM y SGLang.
«Todas estas vulnerabilidades se remontan a la misma causa principal: el uso inseguro y pasado por alto de ZeroMQ (ZMQ) y la deserialización de los problemas de Python», dijo Avi Lumelsky, investigador de Oligo Security dijo en un informe publicado el jueves.
En esencia, el problema se debe a lo que se ha descrito como un patrón denominado ShadowMQ , en el que la lógica de deserialización insegura se ha propagado a varios proyectos como resultado de la reutilización del código.
La causa principal es una vulnerabilidad en el marco del modelo de lenguaje grande (LLM) Llama de Meta ( CVE-2024-50050 , puntuación CVSS: 6,3/9,3) que fue parcheado por la empresa en octubre pasado. Concretamente, implicaba el uso del método recv_pyobj () de ZeroMQ para deserializar los datos entrantes mediante el módulo pickle de Python.
Esto, junto con el hecho de que el marco expuso el socket ZeroMQ a través de la red, abrió la puerta a un escenario en el que un atacante puede ejecutar código arbitrario enviando datos maliciosos para su deserialización. El problema también se ha solucionado en la biblioteca Python de pyzmq.
Desde entonces, Oligo descubrió que el mismo patrón se repite en otros marcos de inferencia, como NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM y SGLang.
«Todos contenían patrones inseguros casi idénticos: deserialización de pepinillos en sockets TCP ZMQ no autenticados», afirma Lumelsky. «Los distintos encargados del mantenimiento y los proyectos mantenidos por diferentes empresas cometieron el mismo error».
Al rastrear los orígenes del problema, Oligo descubrió que, al menos en algunos casos, era el resultado de copiar y pegar código directamente. Por ejemplo, el archivo vulnerable de SGLang afirma que ha sido adaptado por vLLM, mientras que Modular Max Server ha tomado prestada la misma lógica de vLLM y de SGLang, perpetuando de manera efectiva el mismo defecto en todas las bases de código.
A los problemas se les han asignado los siguientes identificadores:
- CVE-2025-30165 (Puntuación CVSS: 8.0) - vLLm (aunque el problema no se ha solucionado, se ha solucionado cambiando al motor V1 de forma predeterminada)
- CVE-2025-23254 (Puntuación CVSS: 8.8) - NVIDIA TensorRT-LLM (corregido en la versión 0.18.2)
- CVE-2025-60455 (Puntuación CVSS: N/A) - Servidor modular Max (fijo)
- Sarathi-Serve (permanece sin parches)
- SGLang (implementado) correcciones incompletas )
Dado que los motores de inferencia actúan como un componente crucial en las infraestructuras de IA, comprometer con éxito un solo nodo podría permitir a un atacante ejecutar código arbitrario en el clúster, aumentar los privilegios, llevar a cabo robos de modelos e incluso lanzar cargas maliciosas, como los mineros de criptomonedas, para obtener beneficios económicos.
«Los proyectos avanzan a una velocidad increíble y es común pedir prestados componentes arquitectónicos de otros pares», dijo Lumelsky. «Pero cuando la reutilización del código incluye patrones inseguros, las consecuencias se propagan rápidamente».
La revelación se produce cuando un nuevo informe de la plataforma de seguridad de IA Knostic descubrió que es posible comprometer la nueva versión de Cursor navegador incorporado mediante técnicas de inyección de JavaScript, sin mencionar el uso de una extensión maliciosa para facilitar la inyección de JavaScript y tomar el control de la estación de trabajo del desarrollador.
El primer ataque implica el registro de un protocolo de contexto modelo local no autorizado ( MCP ), un servidor que elude los controles de Cursor para permitir a un atacante reemplazar las páginas de inicio de sesión del navegador por una página falsa que recopila las credenciales y las filtra a un servidor remoto bajo su control.
«Cuando un usuario descargaba el servidor MCP y lo ejecutaba, utilizando un archivo mcp.json en Cursor, inyectaba código en el navegador de Cursor que conducía al usuario a una página de inicio de sesión falsa, que robaba sus credenciales y las enviaba a un servidor remoto», dijo el investigador de seguridad Dor Munis dijo .
Dado que el editor de código fuente con tecnología de inteligencia artificial es básicamente una bifurcación de Visual Studio Code, un mal actor también podría crear una extensión maliciosa para inyectar JavaScript en el IDE en ejecución y ejecutar acciones arbitrarias, incluida la marcación de extensiones inofensivas de Open VSX como «maliciosas».
«El JavaScript que se ejecuta en el intérprete de Node.js, ya sea introducido por una extensión, un servidor MCP o una línea o regla envenenada, hereda inmediatamente los privilegios del IDE: acceso total al sistema de archivos, posibilidad de modificar o reemplazar las funciones del IDE (incluidas las extensiones instaladas) y capacidad de conservar el código que se vuelve a adjuntar después de un reinicio», dijo la empresa dijo .
«Una vez que la ejecución a nivel de intérprete esté disponible, un atacante puede convertir el IDE en una plataforma de distribución y exfiltración de malware».
Para contrarrestar estos riesgos, es esencial que los usuarios deshabiliten las funciones de ejecución automática en sus IDE, examinen las extensiones, instalen servidores MCP de desarrolladores y repositorios confiables, comprueben a qué datos y API acceden los servidores, usen claves de API con los permisos mínimos requeridos y auditen el código fuente del servidor MCP para detectar integraciones críticas.