นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ร้ายแรงใน LeRobot แพลตฟอร์มหุ่นยนต์โอเพนซอร์สของ Hugging Face ที่มีดาวบน GitHub เกือบ 24,000 ดาว โดยช่องโหว่ CVE-2026-25874 (คะแนน CVSS 9.3) เกิดจากการ deserialize ข้อมูลที่ไม่น่าเชื่อถือผ่านรูปแบบ pickle ที่ไม่ปลอดภัย ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถส่ง payload ที่ถูกสร้างขึ้นมาเพื่อรันโค้ดตามอำเภอใจบนเซิร์ฟเวอร์หรือไคลเอ็นต์ได้

ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน 0.4.3 และยังไม่ได้รับการแก้ไข โดยทีมพัฒนา LeRobot วางแผนจะปล่อยแพตช์ในเวอร์ชัน 0.6.0 ซึ่งต้องปรับปรุงโค้ดส่วนนี้ครั้งใหญ่ เนื่องจากเดิมถูกออกแบบมาเพื่อการวิจัยและต้นแบบเท่านั้น ขณะที่นักวิจัยจาก Resecurity ชี้ว่าช่องโหว่ดังกล่าวอันตรายเพราะระบบ AI มักทำงานด้วยสิทธิพิเศษสูงและเข้าถึงทรัพยากรสำคัญ

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• RCE (Remote Code Execution) – การรันโค้ดจากระยะไกลที่ผู้โจมตีสามารถสั่งการระบบเป้าหมายได้
• Deserialization – กระบวนการแปลงข้อมูลที่ถูกทำให้เป็นอนุกรมกลับเป็นวัตถุในโปรแกรม ซึ่งหากไม่ปลอดภัยอาจถูกโจมตี
• Pickle – รูปแบบการทำให้ข้อมูลเป็นอนุกรมของ Python ที่ขึ้นชื่อเรื่องความไม่ปลอดภัย
• gRPC – โปรโตคอลสื่อสารประสิทธิภาพสูงที่ใช้สำหรับเชื่อมต่อบริการ
• CVSS – ระบบให้คะแนนความรุนแรงของช่องโหว่