Picklescan adlı açık kaynaklı bir yardımcı programda, kötü niyetli aktörlerin güvenilmeyen PyTorch modellerini yükleyerek aracın korumalarını etkili bir şekilde atlayarak rastgele kod yürütmesine olanak tanıyan üç kritik güvenlik açığı ortaya çıktı.
Matthieu Maitre (@mmaitre314) tarafından geliştirilen ve bakımı yapılan Picklescan, Python turşu dosyalarını ayrıştırmak ve şüpheli içe aktarmaları veya işlev çağrılarını yürütülmeden önce tespit etmek için tasarlanmış bir güvenlik tarayıcısıdır. Pickle, modelleri kaydetmek ve yüklemek için bu formatı kullanan PyTorch da dahil olmak üzere, makine öğreniminde yaygın olarak kullanılan bir serileştirme formatıdır.
Ancak turşu dosyaları, yüklendiklerinde isteğe bağlı Python kodunun yürütülmesini otomatik olarak tetiklemek için kullanılabildiğinden büyük bir güvenlik riski de oluşturabilir. Bu, kullanıcıların ve kuruluşların güvenilir modelleri yüklemesini veya model ağırlıklarını TensorFlow ve Flax’tan yüklemesini gerektirir.
JFrog tarafından keşfedilen sorunlar, esas olarak tarayıcının atlanmasını, taranan model dosyalarının güvenli olarak sunulmasını ve kötü amaçlı kodun yürütülmesini mümkün kılıyor; bu da daha sonra bir tedarik zinciri saldırısının yolunu açabilir.
Güvenlik araştırmacısı David Cohen, “Keşfedilen her güvenlik açığı, saldırganların PickleScan’in kötü amaçlı yazılım tespitinden kaçmasına ve tespit edilemeyen kötü amaçlı kodları gizleyen kötü amaçlı makine öğrenimi modelleri dağıtarak potansiyel olarak büyük ölçekli bir tedarik zinciri saldırısı gerçekleştirmesine olanak tanıyor” dedi.
Picklescan, özünde, turşu dosyalarını bayt kodu düzeyinde inceleyerek ve sonuçları, benzer davranışları işaretlemek için bilinen tehlikeli içe aktarma ve işlemlerden oluşan bir engelleme listesine göre kontrol ederek çalışır. Bu yaklaşım, izin verilenler listesine eklemenin aksine, aynı zamanda araçların herhangi bir yeni saldırı vektörünü tespit etmesini önlediği ve geliştiricilerin olası tüm kötü niyetli davranışları hesaba katmasını gerektirdiği anlamına da gelir.
Tespit edilen kusurlar aşağıdaki gibidir:
- CVE-2025-10155 (CVSS puanı: 9,3/7,8) – .bin veya .pt gibi PyTorch ile ilgili uzantıya sahip standart bir turşu dosyası sağlarken tarayıcıyı zayıflatmak ve modeli yüklemek için kullanılabilecek bir dosya uzantısı atlama güvenlik açığı
- CVE-2025-10156 (CVSS puanı: 9,3/7,5) – Döngüsel Artıklık Denetimi (CRC) hatası sunarak ZIP arşiv taramasını devre dışı bırakmak için kullanılabilecek bir atlama güvenlik açığı
- CVE-2025-10157 (CVSS puanı: 9.3/8.3) – Picklescan’ın güvenli olmayan global kontrolünü baltalamak için kullanılabilecek, tehlikeli içe aktarmaların engellendiği listeyi aşarak keyfi kod yürütülmesine yol açabilecek bir bypass güvenlik açığı
Bahsedilen kusurların başarılı bir şekilde kullanılması, saldırganların yaygın PyTorch uzantılarını kullanarak dosyalar içindeki kötü amaçlı turşu yüklerini gizlemesine, kötü amaçlı modeller içeren ZIP arşivlerine kasıtlı olarak CRC hataları eklemesine veya tarayıcıyı atlamak için gömülü turşu yükleri ile kötü amaçlı PyTorch modelleri oluşturmasına olanak tanıyabilir.
29 Haziran 2025’teki sorumlu açıklamanın ardından, 9 Eylül’de yayınlanan Picklescan 0.0.31 sürümünde üç güvenlik açığı giderildi.
Bulgular, tek bir tarama aracına bağımlılık, güvenlik araçları ile PyTorch arasındaki dosya işleme davranışındaki farklılıklar ve dolayısıyla güvenlik mimarilerini saldırılara karşı savunmasız hale getirme gibi bazı önemli sistemik sorunları göstermektedir.
Cohen, “PyTorch gibi yapay zeka kitaplıkları gün geçtikçe daha karmaşık hale geliyor; yeni özellikler, model formatları ve yürütme yolları, güvenlik tarama araçlarının uyum sağlayabileceğinden daha hızlı bir şekilde sunuluyor.” dedi. “İnovasyon ve koruma arasındaki giderek genişleyen uçurum, kuruluşları geleneksel araçların öngörmek üzere tasarlanmadığı yeni ortaya çıkan tehditlere karşı savunmasız bırakıyor.”
“Bu açığı kapatmak, hem saldırganlar hem de savunucular gibi düşünen uzmanlar tarafından sürekli olarak bilgilendirilen, yapay zeka modelleri için araştırma destekli bir güvenlik proxy’si gerektirir. Yeni modelleri aktif olarak analiz ederek, kitaplık güncellemelerini takip ederek ve yeni yararlanma tekniklerini ortaya çıkararak bu yaklaşım, en önemli güvenlik açıklarına karşı uyarlanabilir, zeka odaklı koruma sağlar.”