Makine öğrenimi modellerini kötü amaçlı kodlara karşı taramak için kullanılan popüler bir açık kaynak araç olan PickleScan’deki birden fazla kritik sıfır gün güvenlik açığı.
PickleScan, Python’un turşu formatıyla kaydedilen PyTorch modellerini kontrol etmek için Hugging Face de dahil olmak üzere yapay zeka dünyasında yaygın olarak kullanılıyor.
Pickle esnektir ancak tehlikelidir çünkü bir turşu dosyası yüklemek rastgele Python kodunu çalıştırabilir. Bu, bir model dosyasının gizlice veri çalmak, arka kapılar kurmak veya bir sistemi ele geçirmek için komutlar içerebileceği anlamına gelir.
Kötü Amaçlı PyTorch Modelleri Kod Yürütmeyi Tetikliyor
JFrog’un ekibi, saldırganların bu kusurları PickleScan’in kontrollerini atlamak için kullanabileceğini ve model PyTorch’a yüklendiğinde hala kötü amaçlı kod çalıştırabileceğini buldu.
İlk hata olan CVE‑2025‑10155, saldırganların yalnızca dosya uzantısını değiştirerek taramadan kaçmasına olanak tanıyor.
.bin veya .pt gibi PyTorch tarzı bir uzantı olarak yeniden adlandırılan kötü amaçlı bir turşu dosyası, PickleScan’in kafasını karıştırabilir ve içeriği analiz edememesine neden olabilir. Aynı zamanda PyTorch hala onu yüklüyor ve çalıştırıyor.
| CVE Kimliği | Güvenlik Açığı Adı | CVSS Puanı | Şiddet |
|---|---|---|---|
| CVE-2025-10155 | Dosya Uzantısını Atlama | 9.3 | Kritik |
| CVE-2025-10156 | ZIP Arşivlerinde CRC Atlaması | 9.3 | Kritik |
| CVE-2025-10157 | Güvenli Olmayan Globallerin Baypas Edilmesi | 9.3 | Kritik |
İkinci hata olan CVE‑2025‑10156, bir ZIP dosyası içindeki CRC (bütünlük kontrolü) değerlerini bozarak ZIP arşivlerinin işlenme şeklini kötüye kullanır.
Saldırganlar PickleScan’in çökmesine veya başarısız olmasına neden olabilir, ancak PyTorch yine de modeli aynı bozuk arşivden yükleyebilir. Bu, kötü amaçlı yazılımların saklanabileceği bir kör nokta oluşturur.
Üçüncü hata, CVE‑2025‑10157, alt sınıfları veya asyncio gibi tehlikeli modüllerin dahili içe aktarımını kullanarak PickleScan’in “güvenli olmayan” modüllerden oluşan blok listesini hedefliyor.
Saldırganlar “Tehlikeli” etiketini aşabilir ve keyfi komutlar yürütülebilse bile yalnızca “Şüpheli” olarak işaretlenebilir.
Birçok platform ve şirket ana savunma katmanı olarak PickleScan’e güvendiğinden, bu kusurlar yapay zeka modelleri için ciddi bir tedarik zinciri riski oluşturuyor.
JFrog’un ekibi kusurları 29 Haziran 2025’te PickleScan bakımcısına bildirdi ve bunları 2 Eylül 2025’te yayınlanan 0.0.31 sürümünde düzeltti.
Kullanıcılardan derhal yükseltme yapmaları ve mümkünse güvenli olmayan turşu bazlı modellerden kaçınmaları isteniyor. Korumalı alanlar gibi katmanlı savunmaları, Safetensor’lar gibi daha güvenli formatları ve güvenli model depolarını kullanın.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
