हगिंग फेस द्वारा समर्थित और गिटहब पर लगभग 24,000 स्टार वाले ओपन-सोर्स रोबोटिक प्लेटफॉर्म LeRobot ने एक असुविधाजनक कारण से सुर्खियाँ बटोरी हैं। साइबर सुरक्षा शोधकर्ताओं ने एक गंभीर खामी का पता लगाया है, जिसे CVE-2026-25874 के रूप में वर्गीकृत किया गया है, जिसका CVSS सिस्टम पर स्कोर 9.3 है। समस्या बिना प्रमाणीकरण के रिमोट कोड निष्पादन की अनुमति देती है, जो डेवलपर्स और रोबोटिक्स उत्साही लोगों के लिए एक महत्वपूर्ण जोखिम है। 🤖
असुरक्षित डिसीरियलाइज़ेशन: तकनीकी विफलता का मूल कारण 🔓
यह कमजोरी अविश्वसनीय डेटा के डिसीरियलाइज़ेशन पर आधारित है। व्यावहारिक रूप से, LeRobot अपने मूल या अखंडता को सत्यापित किए बिना क्रमबद्ध डेटा को संसाधित करता है। एक हमलावर प्लेटफॉर्म पर विशेष रूप से तैयार किया गया डेटा भेज सकता है, और जब इसे डिसीरियलाइज़ किया जाता है, तो दूरस्थ रूप से दुर्भावनापूर्ण कोड निष्पादित होता है। यह उन सिस्टमों को प्रभावित करता है जो उत्पादन या अनुसंधान वातावरण में LeRobot को एकीकृत करते हैं, उपयोगकर्ता के सीधे संपर्क के बिना नेटवर्क और संवेदनशील डेटा को संभावित समझौते के लिए उजागर करता है।
वह रोबोट जो आपके लिए दरवाजा खोलता है 🚪
यहाँ विडंबना है: जब हम ऐसे रोबोट का सपना देखते हैं जो हमारे लिए कॉफी लाए या घर की सफाई करे, तो पता चलता है कि उन्हें नियंत्रित करने वाला सॉफ्टवेयर अवांछित आगंतुकों के लिए दरवाजा खोल सकता है, लेकिन दुर्भावनापूर्ण कोड के रूप में। यह एक ऐसा रक्षक कुत्ता खरीदने जैसा है जो जेबकतरा निकले। इस खामी के लिए चाबी या पासवर्ड की आवश्यकता नहीं है; बस थोड़ी सी चतुराई और अच्छी तरह से पैक किया गया डेटा चाहिए। अच्छी बात है कि डेवलपर्स पहले से ही पैच पर काम कर रहे हैं, क्योंकि एक रोबोट जो आपको हैक करते हुए नमस्ते करे, वह भविष्य का वह दृष्टिकोण नहीं है जिसकी हम उम्मीद कर रहे थे।