Робототехническая платформа с открытым исходным кодом LeRobot, поддерживаемая Hugging Face и имеющая почти 24 000 звезд на GitHub, оказалась в центре внимания по неприятной причине. Специалисты по кибербезопасности обнаружили критическую уязвимость, классифицированную как CVE-2026-25874, с оценкой 9.3 по системе CVSS. Проблема позволяет удаленно выполнять код без необходимости аутентификации, что представляет значительный риск для разработчиков и энтузиастов робототехники. 🤖
Небезопасная десериализация: источник технической ошибки 🔓
Уязвимость основана на десериализации ненадежных данных. На практике LeRobot обрабатывает сериализованные данные без проверки их источника или целостности. Злоумышленник может отправить на платформу специально сформированные данные, и при их десериализации удаленно выполняется вредоносный код. Это затрагивает системы, интегрирующие LeRobot в производственные или исследовательские среды, подвергая сети и конфиденциальные данные риску компрометации без прямого взаимодействия с пользователем.
Робот, который распахивает дверь настежь 🚪
Вот в чем ирония: пока мы мечтаем о роботах, которые приносят нам кофе или убирают дом, оказывается, что управляющее ими программное обеспечение может открывать дверь нежеланным гостям, но в виде вредоносного кода. Это все равно что купить сторожевую собаку, которая оказывается карманником. Для уязвимости не нужны ни ключи, ни пароли — только немного изобретательности и хорошо упакованные данные. Хорошо, что разработчики уже работают над патчем, ведь робот, который приветствует вас, пока вас взламывают, — это не совсем то видение будущего, на которое мы рассчитывали.