Sonatype研究人员发现了picklescan中的关键漏洞。了解这些漏洞如何影响AI模型安全性、Hugging Face以及开发人员的最佳实践。

Sonatype的网络安全研究人员在picklescan中发现了几个漏洞，该工具用于检查Python pickle文件中是否存在恶意代码。这些文件通常用于存储和检索机器学习模型，由于它们能够在检索存储数据的过程中执行任意代码，因此存在安全风险。

根据Sonatype分享的分析，总共发现四个漏洞：
1. CVE-2025-1716 – 允许攻击者绕过该工具的检查并执行有害代码；
2. CVE-2025-1889 – 由于依赖文件扩展名而无法检测隐藏的恶意文件；
3. CVE-2025-1944 – 可通过操纵 ZIP 存档文件名来利用，从而导致工具发生故障；
4. CVE-2025-1945 – 当 ZIP 档案中的某些位被更改时无法检测恶意文件。

值得注意的是，Hugging Face等平台利用picklescan作为其安全措施的一部分来识别恶意AI模型。研究人员指出，发现的漏洞可能允许恶意行为者绕过这些安全检查，从而对依赖开源AI模型的开发人员构成威胁，因为它们可能导致“任意代码执行”。这意味着攻击者可能会完全控制系统。

研究人员在博客文章中解释道：“考虑到picklescan在更广泛的AI/ML卫生态势中的作用(例如与PyTorch一起使用时)，威胁行为者可以利用Sonatype发现的漏洞绕过恶意软件扫描(至少部分绕过)并瞄准利用开源AI的开发人员。 ”

好消息是，picklescan维护者表现出对安全的强烈承诺，及时解决漏洞，发布0.0.23版本修复了漏洞，最大限度地减少了恶意行为者利用这些漏洞的机会。

Sonatype首席产品官Mitchell Johnson敦促开发人员尽可能避免使用来自不受信任来源的pickle文件，而应使用更安全的文件格式。如果必须使用pickle文件，则应仅在安全、受控的环境中加载它们。此外，通过加密签名和校验和验证AI模型的完整性以及实施多层安全扫描也很重要。

研究结果凸显了AI/ML管道对先进、可靠的安全措施的需求日益增长。为了降低风险，组织应采取一些措施，例如使用更安全的文件格式、使用多种安全扫描工具以及在加载pickle文件时监控可疑行为。