کمیته رکن چهارم – سه آسیبپذیری خطرناک در ابزار متنباز Picklescan شناسایی شده که به مهاجمان اجازه میدهد با بارگذاری مدلهای مخرب PyTorch، تدابیر امنیتی این ابزار را دور بزنند و کد دلخواه خود را اجرا کنند. Picklescan برای بررسی فایلهای pickle طراحی شده که یکی از قالبهای متداول ذخیره مدل در یادگیری ماشین است.
به گزارش کمیته رکن چهارم، این آسیبپذیریها شامل امکان بایپس پسوند فایل، جلوگیری از اسکن آرشیوهای ZIP با ایجاد خطای CRC، و عبور از بررسی واردات ناامن است. مهاجم میتواند از این ضعفها استفاده کرده و فایلهایی با پسوندهایی مانند .pt یا .bin را بهجای فایل امن معرفی کند یا کدهای مخرب را به گونهای در فایل قرار دهد که توسط Picklescan شناسایی نشوند.
ابزار Picklescan با مقایسه bytecode مدلها با لیست سیاه عملیات خطرناک عمل میکند؛ اما همین رویکرد باعث میشود بردارهای حمله جدید از دید آن پنهان بمانند. به گفته پژوهشگران JFrog، این ضعفها میتوانند زمینهساز حملات زنجیره تأمین در مقیاس وسیع باشند.
آسیبپذیریها در نسخه ۰.۰.۳۱ این ابزار که در سپتامبر ۲۰۲۵ منتشر شد، برطرف شدهاند. اما کارشناسان هشدار میدهند که تکیه کامل بر ابزارهای امنیتی منفرد کافی نیست و تفاوت در شیوه پردازش فایلها میان ابزارهای امنیتی و خود PyTorch میتواند باعث بروز شکاف امنیتی شود.
پژوهشگران پیشنهاد میکنند از راهکارهای تحقیقمحور برای تحلیل و محافظت از مدلهای هوش مصنوعی استفاده شود تا تهدیدهای پیچیده آینده نیز قابل شناسایی باشند.
