Er zijn drie kritieke beveiligingsfouten onthuld in een open source-hulpprogramma genaamd Picklescan, waarmee kwaadwillende actoren willekeurige code kunnen uitvoeren door niet-vertrouwde PyTorch-modellen te laden, waardoor de beveiliging van het hulpprogramma effectief wordt omzeild.
Picklescan, ontwikkeld en onderhouden door Matthieu Maitre (@mmaitre314), is een beveiligingsscanner die is ontworpen om Python Pickle-bestanden te parseren en verdachte import- of functieaanroepen te detecteren voordat ze worden uitgevoerd. Pickle is een veelgebruikt serialisatieformaat in machine learning, waaronder PyTorch, dat het formaat gebruikt om modellen op te slaan en te laden.
Maar pickle-bestanden kunnen ook een groot veiligheidsrisico vormen, omdat ze kunnen worden gebruikt om automatisch de uitvoering van willekeurige Python-code te activeren wanneer ze worden geladen. Dit vereist dat gebruikers en organisaties vertrouwde modellen laden, of modelgewichten van TensorFlow en Flax laden.
De door JFrog ontdekte problemen maken het in wezen mogelijk om de scanner te omzeilen, de gescande modelbestanden als veilig te presenteren en het mogelijk te maken dat kwaadaardige code wordt uitgevoerd, wat vervolgens de weg kan vrijmaken voor een supply chain-aanval.
“Elke ontdekte kwetsbaarheid stelt aanvallers in staat de malwaredetectie van PickleScan te omzeilen en mogelijk een grootschalige supply chain-aanval uit te voeren door kwaadaardige ML-modellen te verspreiden die niet-detecteerbare kwaadaardige code verbergen”, aldus beveiligingsonderzoeker David Cohen.
Picklescan werkt in de kern door de pickle-bestanden op bytecodeniveau te onderzoeken en de resultaten te vergelijken met een blokkeerlijst van bekende gevaarlijke importen en bewerkingen om soortgelijk gedrag te signaleren. Deze aanpak betekent, in tegenstelling tot het op de toelatingslijst zetten, ook dat de tools geen nieuwe aanvalsvector kunnen detecteren en vereist dat de ontwikkelaars rekening houden met al het mogelijke kwaadaardige gedrag.
De geïdentificeerde gebreken zijn als volgt:
- CVE-2025-10155 (CVSS-score: 9,3/7,8) – Een kwetsbaarheid voor het omzeilen van bestandsextensies die kan worden gebruikt om de scanner te ondermijnen en het model te laden bij het leveren van een standaard pickle-bestand met een PyTorch-gerelateerde extensie zoals .bin of .pt
- CVE-2025-10156 (CVSS-score: 9,3/7,5) – Een omzeilingskwetsbaarheid die kan worden gebruikt om het scannen van ZIP-archieven uit te schakelen door een Cyclic Redundancy Check (CRC)-fout te introduceren
- CVE-2025-10157 (CVSS-score: 9,3/8,3) – Een omzeilingskwetsbaarheid die kan worden gebruikt om de onveilige mondiale controle van Picklescan te ondermijnen, wat leidt tot uitvoering van willekeurige code door een blokkeerlijst met gevaarlijke importen te omzeilen
Succesvol misbruik van de bovengenoemde fouten zou aanvallers in staat kunnen stellen kwaadaardige augurk-payloads in bestanden te verbergen met behulp van gewone PyTorch-extensies, opzettelijk CRC-fouten in ZIP-archieven met kwaadaardige modellen te introduceren, of kwaadaardige PyTorch-modellen met ingebedde augurk-payloads te maken om de scanner te omzeilen.
Na de verantwoorde openbaarmaking op 29 juni 2025 zijn de drie kwetsbaarheden verholpen in Picklescan versie 0.0.31, uitgebracht op 9 september.
De bevindingen illustreren enkele belangrijke systemische problemen, waaronder de afhankelijkheid van één enkele scantool en discrepanties in het gedrag bij het omgaan met bestanden tussen beveiligingstools en PyTorch, waardoor beveiligingsarchitecturen kwetsbaar worden voor aanvallen.
“AI-bibliotheken zoals PyTorch worden met de dag complexer en introduceren sneller nieuwe functies, modelformaten en uitvoeringstrajecten dan tools voor beveiligingsscans kunnen aanpassen”, aldus Cohen. “Door deze steeds groter wordende kloof tussen innovatie en bescherming worden organisaties blootgesteld aan opkomende bedreigingen waar conventionele tools eenvoudigweg niet op waren ontworpen.”
“Het dichten van deze kloof vereist een door onderzoek ondersteunde beveiligingsproxy voor AI-modellen, voortdurend geïnformeerd door experts die denken als zowel aanvallers als verdedigers. Door nieuwe modellen actief te analyseren, bibliotheekupdates bij te houden en nieuwe exploitatietechnieken bloot te leggen, levert deze aanpak adaptieve, op intelligentie gebaseerde bescherming tegen de kwetsbaarheden die er het meest toe doen.”
