Principais destaques:
- Pesquisadores da Palo Alto Networks identificaram falhas de execução remota de código em bibliotecas de IA amplamente usadas.
- As vulnerabilidades afetam projetos ligados à Nvidia, Salesforce e Apple, com impacto direto em modelos hospedados no Hugging Face.
- Embora não haja exploração conhecida em ambiente real, especialistas alertam para um risco elevado na cadeia de suprimentos de IA.
Pesquisadores de segurança da Palo Alto Networks trouxeram à tona um problema sério no ecossistema de inteligência artificial.
Três bibliotecas Python populares, usadas para IA e aprendizado de máquina, apresentavam vulnerabilidades que permitiam a execução remota de código.
Na prática, isso significa que um invasor poderia inserir comandos maliciosos em modelos aparentemente legítimos e executá-los automaticamente quando esses arquivos fossem carregados.
A descoberta foi detalhada por Curtis Carmony, pesquisador da Unit 42, divisão de inteligência de ameaças da empresa. Segundo ele, o cenário é especialmente preocupante porque envolve modelos amplamente distribuídos, com dezenas de milhões de downloads somados.
Como o ataque pode acontecer na prática
As bibliotecas afetadas, NeMo, Uni2TS e FlexTok, utilizam o Hydra, uma biblioteca Python mantida pela Meta Platforms para gerenciamento de configurações em projetos de machine learning. O problema está no uso da função instantiate(), que deveria apenas criar objetos a partir de classes predefinidas.
O detalhe crítico é que essa função aceita qualquer elemento executável. Com isso, um atacante pode abusar de funções nativas do Python, como eval() ou comandos de sistema, escondendo código malicioso nos metadados de um modelo. Ao carregar o arquivo, o código seria executado sem alertar o usuário.
De acordo com a Unit 42, bastaria modificar um modelo popular, oferecer alguma melhoria atrativa e incluir os metadados maliciosos para explorar a falha.
Correções já foram aplicadas pelos fornecedores
Após a notificação feita em abril de 2025, as empresas envolvidas lançaram correções. A Nvidia classificou o problema como de alta severidade e publicou a CVE-2025-23304, corrigida na versão 2.3.2 do NeMo. A Salesforce também tratou a falha como crítica, registrando a CVE-2026-22584 e aplicando o patch em julho de 2025.
No caso do FlexTok, a correção foi implementada pela Apple em conjunto com o Instituto Federal de Tecnologia da Suíça, ainda em junho de 2025. A Salesforce afirmou publicamente que não encontrou indícios de acesso não autorizado a dados de clientes.
Um alerta para a segurança da cadeia de IA
O episódio reforça uma preocupação crescente no setor: a superfície de ataque em projetos de IA está aumentando rapidamente. Mais de 700 modelos no Hugging Face utilizam formatos associados ao NeMo, enquanto bibliotecas da Salesforce somam centenas de milhares de downloads.
A Unit 42 também identificou mais de 100 bibliotecas Python usadas por modelos na plataforma, muitas delas dependentes do Hydra.
Embora a Meta tenha atualizado a documentação para alertar sobre o risco de execução remota de código, ainda não existe um mecanismo automático de bloqueio que impeça esse tipo de exploração.
Para especialistas, o caso serve como um aviso claro. À medida que modelos de IA se tornam mais reutilizáveis e fáceis de compartilhar, a atenção à segurança do código e dos metadados precisa acompanhar esse ritmo.
