هشدار بحرانی: آسیب‌پذیری RCE در LeRobot Hugging Face

**هشدار بحرانی: آسیب‌پذیری RCE در LeRobot Hugging Face** یک آسیب‌پذیری بسیار بحرانی اجرای کد از راه دور (RCE) در کتابخانه LeRobot متعلق به Hugging Face کشف شده است. این flaw با شناسه **CVE-2026-25874** در نسخه‌های تا ۰.۵.۱ وجود دارد و به دلیل استفاده ناامن از `pickle.loads()` در pipeline استنتاج asynchronous و کانال‌های gRPC بدون احراز هویت و رمزنگاری TLS ایجاد شده است. مهاجمان بدون نیاز به اعتبارسنجی می‌توانند با ارسال payloadهای crafted از طریق متدهای SendPolicyInstructions، SendObservations یا GetActions، کد دلخواه را روی Policy Server و Robot Client اجرا کنند. در حال حاضر هیچ پچ رسمی منتشر نشده است. ## جزئیات فنی آسیب‌پذیری پژوهشگران امنیتی در تحلیل فنی خود نشان داده‌اند که LeRobot در بخش async inference pipeline برای پردازش داده‌های دریافتی از شبکه، به‌طور مستقیم از تابع `pickle.loads()` استفاده می‌کند. این تابع یکی از خطرناک‌ترین روش‌های deserialization در پایتون است زیرا قابلیت اجرای کد دلخواه را دارد. کانال ارتباطی مورد استفاده، gRPC است که در پیاده‌سازی فعلی فاقد هرگونه مکانیسم احراز هویت و رمزنگاری TLS است. بنابراین هر مهاجمی که به شبکه دسترسی داشته باشد، می‌تواند پیام‌های مخرب را مستقیماً به سرور یا کلاینت ارسال کند. این طراحی در نسخه‌های ۰.۵.۱ و پایین‌تر وجود دارد و به‌عنوان یک آسیب‌پذیری با امتیاز CVSS بالا (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) طبقه‌بندی شده است. ## مکانیسم حمله و روش بهره‌برداری مهاجم با ارسال یک payload pickle crafted از طریق فراخوانی‌های gRPC خاص، زنجیره deserialization خطرناک را فعال می‌کند. متدهای آسیب‌پذیر عبارتند از: - SendPolicyInstructions - SendObservations - GetActions با توجه به عدم وجود احراز هویت، حمله از راه دور و بدون تعامل کاربر (unauthenticated) قابل انجام است. این payload می‌تواند دستورات دلخواه سیستم‌عامل را اجرا کند، فایل بخواند، یا بدافزار نصب کند. تحلیل منتشر شده توسط پژوهشگر امنیتی نشان می‌دهد که این حمله همزمان بر هر دو جزء Policy Server و Robot Client تاثیر می‌گذارد. به این ترتیب یک حمله موفق می‌تواند کنترل کامل زیرساخت رباتیک را در اختیار مهاجم قرار دهد. ## اجزای تحت تاثیر و دامنه آسیب آسیب‌پذیری همزمان دو بخش اصلی LeRobot را هدف قرار می‌دهد: - **Policy Server**: قلب تصمیم‌گیری ربات که دستورات سیاستی را مدیریت می‌کند. - **Robot Client**: کلاینتی که مستقیماً با سخت‌افزار ربات ارتباط دارد. با توجه به محبوبیت LeRobot در پروژه‌های تحقیقاتی و صنعتی یادگیری تقویتی ربات‌ها، تعداد زیادی از آزمایشگاه‌ها و شرکت‌های توسعه‌دهنده در معرض خطر قرار دارند. هر سیستمی که این کتابخانه را روی شبکه‌های در دسترس اینترنت یا شبکه‌های داخلی بدون segmentation اجرا کند، آسیب‌پذیر است. کارشناسان هشدار داده‌اند که در صورت بهره‌برداری، مهاجم می‌تواند به داده‌های حساس آموزشی، مدل‌های هوش مصنوعی و حتی کنترل فیزیکی ربات‌ها دسترسی پیدا کند. ## وضعیت فعلی و نبود پچ رسمی تا زمان انتشار این گزارش، Hugging Face هیچ نسخه پچ‌شده‌ای برای این آسیب‌پذیری منتشر نکرده است. در مخزن گیت‌هاب پروژه، مسئله‌هایی با شماره‌های ۳۰۴۷ و ۳۱۳۴ ثبت شده و یک Pull Request با شماره ۳۰۴۸ برای رفع مشکل ایجاد شده، اما هنوز مرج نشده است. این وضعیت LeRobot را به یک هدف آسان برای حملات واقعی تبدیل کرده است. منابع فنی از جمله تحلیل Chocapikk و VulnCheck بر فوریت موضوع تاکید دارند و توصیه می‌کنند تا زمان انتشار نسخه امن، استفاده از این کتابخانه در محیط‌های production یا شبکه‌های暴露 محدود شود. ## توصیه‌های امنیتی فوری تا انتشار پچ رسمی، تیم‌های فنی باید اقدامات زیر را اجرا کنند: - عدم استفاده از نسخه‌های ۰.۵.۱ و پایین‌تر در محیط‌های در دسترس شبکه - ایزوله کردن کامل Policy Server و Robot Client در شبکه‌های air-gapped - مسدود کردن ترافیک gRPC از منابع غیرمعتبر - نظارت دقیق بر لاگ‌های شبکه برای شناسایی payloadهای مشکوک - بررسی جایگزین‌های امن‌تر برای deserialization در پروژه‌های مشابه سازمان‌ها و پژوهشگرانی که از LeRobot استفاده می‌کنند باید به‌روزرسانی‌های مخزن را لحظه‌ای دنبال کنند و در صورت لزوم به نسخه‌های قدیمی‌تر یا فورک‌های امن مهاجرت کنند. ## جمع‌بندی این آسیب‌پذیری بار دیگر نشان داد که استفاده از ماژول‌های serialization ناامن مانند pickle در سرویس‌های شبکه‌ای بدون احراز هویت، چه عواقب سنگینی می‌تواند داشته باشد. LeRobot به‌عنوان یک پروژه مهم در حوزه رباتیک هوش مصنوعی، اکنون تا زمان رفع کامل مشکل در وضعیت پرخطری قرار دارد. توصیه اکید این است که کاربران و سازمان‌ها تا انتشار پچ رسمی، از اجرای این کتابخانه در محیط‌های تولیدی خودداری کنند و تدابیر隔离 شبکه‌ای را جدی بگیرند. ## منابع - [CVE-2026-25874 - National Vulnerability Database](https://nvd.nist.gov/vuln/detail/CVE-2026-25874) - [LeRobot Pickle RCE Technical Analysis - Chocapikk](https://chocapikk.com/posts/2026/lerobot-pickle-rce/) - [GitHub Issue #3047 - Hugging Face LeRobot](https://github.com/huggingface/lerobot/issues/3047) - [GitHub Pull Request #3048 (Patch)](https://github.com/huggingface/lerobot/pull/3048) - [LeRobot Unsafe Deserialization - VulnCheck Advisory](https://www.vulncheck.com/advisories/lerobot-unsafe-deserialization-remote-code-execution-via-grpc) - [Critical Unpatched Flaw Leaves Hugging Face LeRobot Open to Unauthenticated RCE - The Hacker News](https://thehackernews.com)