Se han descubierto tres fallos de seguridad críticos en una utilidad de código abierto llamada Picklescan que podrían permitir a actores malintencionados ejecutar código arbitrario cargando modelos de PyTorch que no son de confianza, eludiendo de manera efectiva las protecciones de la herramienta.
Picklescan , desarrollado y mantenido por Matthieu Maitre (@mmaitre314), es un escáner de seguridad diseñado para analizar los archivos pickle de Python y detectar importaciones o llamadas a funciones sospechosas antes de que se ejecuten. Pickle es un formato de serialización muy utilizado en el aprendizaje automático, que incluye PyTorch , que usa el formato para guardar y cargar modelos.
Pero los archivos de pepinillos también pueden ser un enorme riesgo de seguridad , ya que se pueden usar para activar automáticamente el ejecución de código Python arbitrario cuando están cargados. Esto requiere que los usuarios y las organizaciones carguen modelos confiables o carguen los pesos de los modelos de TensorFlow y Flax.
Los problemas descubiertos por JFrog básicamente permiten eludir el escáner, presentar los archivos del modelo escaneados como seguros y permitir la ejecución de código malicioso, lo que podría allanar el camino para un ataque a la cadena de suministro.
«Cada vulnerabilidad descubierta permite a los atacantes evadir la detección de malware de PickleScan y, potencialmente, ejecutar un ataque a la cadena de suministro a gran escala mediante la distribución de modelos de aprendizaje automático maliciosos que ocultan código malicioso indetectable», dijo el investigador de seguridad David Cohen dijo .
Picklescan, en esencia, funciona examinando los archivos pickle a nivel de código de bytes y comparando los resultados con una lista de bloqueos de importaciones y operaciones peligrosas conocidas para detectar un comportamiento similar. Este enfoque, al contrario de lo que ocurre con las listas permitidas, también significa que impide que las herramientas detecten nuevos vectores de ataque y exige que los desarrolladores tengan en cuenta todos los posibles comportamientos malintencionados.
Los defectos identificados son los siguientes -
- CVE-2025-10155 (Puntuación CVSS: 9,3/7,8): una vulnerabilidad de elusión de extensiones de archivo que se puede utilizar para socavar el escáner y cargar el modelo al proporcionar un archivo pickle estándar con una extensión relacionada con PyTorch, como .bin o .pt
- CVE-2025-10156 (puntuación CVSS: 9,3/7,5): una vulnerabilidad de omisión que se puede utilizar para deshabilitar el escaneo de archivos ZIP al introducir un error de verificación de redundancia cíclica (CRC)
- CVE-2025-10157 (Puntuación CVSS: 9,3/8,3): una vulnerabilidad de elusión que puede utilizarse para socavar la verificación global insegura de Picklescan, lo que lleva a la ejecución de código arbitrario al eludir una lista de bloqueos de importaciones peligrosas
La explotación exitosa de las fallas antes mencionadas podría permitir a los atacantes ocultar cargas maliciosas de pickle dentro de los archivos que utilizan extensiones comunes de PyTorch, introducir deliberadamente errores de CRC en archivos ZIP que contienen modelos maliciosos o crear modelos PyTorch maliciosos con cargas de pickle integradas para evitar el escáner.
Tras la divulgación responsable el 29 de junio de 2025, las tres vulnerabilidades se han abordado en Picklescan versión 0.0.31 lanzado el 9 de septiembre.
Los hallazgos ilustran algunos problemas sistémicos clave, incluida la dependencia de una sola herramienta de escaneo y las discrepancias en el comportamiento de manejo de archivos entre las herramientas de seguridad y PyTorch, lo que hace que las arquitecturas de seguridad sean vulnerables a los ataques.
«Las bibliotecas de IA como PyTorch se vuelven más complejas día a día e introducen nuevas funciones, formatos de modelo y vías de ejecución más rápido de lo que pueden adaptarse las herramientas de análisis de seguridad», afirma Cohen. «Esta brecha cada vez mayor entre la innovación y la protección deja a las organizaciones expuestas a amenazas emergentes para las que las herramientas convencionales simplemente no se diseñaron para anticipar».
«Cerrar esta brecha requiere un proxy de seguridad respaldado por la investigación para los modelos de IA, informado continuamente por expertos que piensen tanto como atacantes como defensores. Al analizar activamente los nuevos modelos, hacer un seguimiento de las actualizaciones de las bibliotecas y descubrir nuevas técnicas de explotación, este enfoque ofrece una protección adaptativa y basada en la inteligencia contra las vulnerabilidades más importantes».