Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica que afecta lerobotla plataforma robótica de código abierto de Hugging Face con casi 24.000 estrellas de GitHubque podría explotarse para lograr la ejecución remota de código.

La vulnerabilidad en cuestión es CVE-2026-25874 (Puntuación CVSS: 9,3), que se ha descrito como un caso de deserialización de datos no confiables derivada del uso del formato pickle inseguro.

«LeRobot contiene una vulnerabilidad de deserialización insegura en el proceso de inferencia asíncrona, donde pickle.loads() se utiliza para deserializar datos recibidos a través de canales gRPC no autenticados sin TLS en el servidor de políticas y los componentes del cliente del robot», según un Aviso de GitHub por el defecto.

«Un atacante no autenticado accesible en la red puede lograr la ejecución de código arbitrario en el servidor o cliente enviando una carga útil de pickle diseñada a través de las llamadas gRPC SendPolicyInstructions, SendObservations o GetActions».

Según Resecurity, el problema es arraigado en el componente PolicyServer de inferencia asíncrona, lo que permite a un atacante no autenticado que pueda alcanzar el puerto de red de PolicyServer enviar una carga útil serializada maliciosa y ejecutar comandos arbitrarios del sistema operativo en la máquina host que ejecuta el servicio.

La empresa de ciberseguridad dijo que la vulnerabilidad es «peligrosa», ya que el servicio está diseñado para sistemas de inferencia de inteligencia artificial, que tienden a ejecutarse con privilegios elevados para acceder a redes internas, conjuntos de datos y costosos recursos informáticos. Si un atacante explotara la falla, podría permitir una amplia gama de acciones, que incluyen:

• Ejecución remota de código no autenticado
• Compromiso total del host PolicyServer
• Robots conectados a impacto
• Robo de datos confidenciales, como claves API, credenciales SSH y archivos de modelo.
• Moverse lateralmente a través de la red
• Servicios fallidos, modelos corruptos u operaciones de sabotaje que generan riesgos para la seguridad física

El investigador de seguridad de VulnCheck Valentin Lobstein, quien descubierto y publicó detalles adicionales de la deficiencia la semana pasada, dijo que había sido validado con éxito contra la versión 0.4.3 de LeRobot. El problema actualmente sigue sin parchear, con una solución. planificado en versión 0.6.0.

Curiosamente, el mismo defecto se detectó de forma independiente. reportado por otro investigador que utiliza el alias en línea «chenpinji» en algún momento de diciembre de 2025. El equipo de LeRobot respondió a principios de enero, reconociendo el riesgo de seguridad y señalando «que parte del código base debe refactorizarse casi por completo ya que su implementación original era más experimental».

«Dicho esto, LeRobot ha sido hasta ahora principalmente una herramienta de investigación y creación de prototipos, por lo que la seguridad de la implementación no ha sido un foco importante hasta ahora», dijo Steven Palma, líder tecnológico del proyecto. «A medida que LeRobot siga siendo adoptado e implementado en producción, comenzaremos a prestar mucha más atención a este tipo de problemas. Afortunadamente, al ser un proyecto de código abierto, la comunidad también puede ayudar informando y solucionando vulnerabilidades».

Los hallazgos exponen una vez más los peligros del uso del formato pickle, ya que allana el camino para ataques de ejecución de código arbitrario simplemente cargando un archivo especialmente diseñado.

«Es difícil exagerar la ironía aquí», señaló Lobstein. «Hugging Face creó Safetensors, un formato de serialización diseñado específicamente porque pickle es peligroso para los datos de ML. Y, sin embargo, su propio marco robótico deserializa la entrada de red controlada por el atacante con pickle.loads(), con # comentarios de nosec para silenciar la herramienta que intentaba advertirles».