El ecosistema de inteligencia artificial y machine learning vuelve a estar en alerta. Investigadores de ciberseguridad han revelado tres vulnerabilidades críticas en Picklescan, una herramienta de código abierto ampliamente utilizada para analizar archivos pickle en Python y detectar comportamientos maliciosos. Estos fallos permiten a atacantes ejecutar código arbitrario a través de modelos PyTorch maliciosos, eludiendo completamente las protecciones de la herramienta y comprometiendo la seguridad de los entornos de desarrollo.
Picklescan, desarrollado por Matthieu Maitre (@mmaitre314), es una utilidad creada para examinar archivos pickle antes de su ejecución, una función crítica dado que el formato pickle —aunque indispensable en frameworks como PyTorch— es también un vector de riesgo por permitir la ejecución automática de código Python cuando se carga un archivo manipulado.
Sin embargo, la investigación de JFrog expone una realidad preocupante: la herramienta puede ser evadida de múltiples formas, permitiendo que modelos de aprendizaje automático maliciosos pasen desapercibidos y abriendo la puerta a ataques a la cadena de suministro.
Por qué los archivos pickle son una amenaza creciente en machine learning
El formato pickle es extremadamente popular en Python debido a su capacidad para serializar objetos complejos, incluyendo arquitecturas de redes neuronales y pesos de modelos. Sin embargo:
-
Permite ejecución automática de código, a menudo sin restricciones.
-
No ofrece garantías de seguridad contra manipulaciones maliciosas.
-
En entornos donde se comparten modelos (Hugging Face, repositorios de código, colaboraciones entre equipos), el riesgo se multiplica.
Picklescan surgió como respuesta a esta necesidad de inspección previa, analizando bytecode y comparándolo con una lista de importaciones peligrosas y funciones inseguras. Pero, como demuestran los nuevos hallazgos, el modelo de seguridad basado solo en listas de bloqueo es insuficiente para frenar ataques modernos.

Los tres fallos críticos descubiertos en Picklescan
Los investigadores identificaron tres vulnerabilidades de evasión que permiten eludir los controles del escáner:
1. CVE-2025-10155 – Bypass mediante extensión de archivo (CVSS 9.3/7.8)
Esta vulnerabilidad permite que un archivo pickle malicioso sea interpretado como archivo seguro simplemente cambiando su extensión a un formato común en PyTorch, como:
-
1.bin
-
1.pt
Picklescan no aplica su análisis a estos archivos si no llevan la extensión
1 | .pkl |
, lo que permite que un atacante distribuya modelos maliciosos sin activar ninguna alerta.
2. CVE-2025-10156 – Bypass mediante error CRC en archivos ZIP (CVSS 9.3/7.5)
PyTorch permite cargar modelos empaquetados en archivos ZIP. Esta vulnerabilidad posibilita modificar un ZIP con un error CRC (Cyclic Redundancy Check) intencional.
Mientras Picklescan interpreta el fallo como un archivo ilegible y lo omite, PyTorch sí lo carga, permitiendo ejecutar cargas maliciosas manipuladas para evadir el escáner.
3. CVE-2025-10157 – Bypass de globales inseguros (CVSS 9.3/8.3)
Este fallo permite saltarse la detección de importaciones peligrosas ocultando o manipulando globales inseguros dentro del archivo pickle. Como resultado:
-
El escáner no detecta llamadas a funciones maliciosas.
-
El archivo se considera seguro aunque contenga código peligroso.
-
Se habilita la ejecución arbitraria de código durante la carga del modelo.
Impacto de las vulnerabilidades: una puerta abierta a ataques a la cadena de suministro
La explotación conjunta de estos fallos permite crear modelos PyTorch maliciosos con cargas integradas capaces de:
-
Evasión completa del escáner Picklescan
-
Ejecución remota de código
-
Instalación de malware
-
Exfiltración encubierta de datos sensibles
-
Compromiso persistente en entornos de IA
Este escenario es especialmente crítico para empresas que dependen de modelos externos o colaborativos, o que entrenan modelos en infraestructuras compartidas.
Cuarta vulnerabilidad adicional: CVE-2025-46417 – Exfiltración de datos vía DNS
Además de los tres fallos iniciales, SecDim y DCODX revelaron un cuarto problema de alta gravedad, identificado como CVE-2025-46417.
Esta vulnerabilidad permite que un archivo pickle malicioso:
-
Lea información sensible del sistema objetivo.
-
Reutilice módulos legítimos de Python como
1linecacheo
1ssl.
-
Exfiltre los datos a un dominio controlado por el atacante mediante peticiones DNS.
La herramienta Picklescan no detectaba este comportamiento en versiones anteriores, ya que los módulos involucrados no estaban en la lista de bloqueo.
Parches, mitigaciones y recomendaciones
Tras la divulgación el 29 de junio de 2025, las vulnerabilidades fueron corregidas en Picklescan versión 0.0.31, publicada el 9 de septiembre.
Sin embargo, los expertos enfatizan que:
-
Confiar en un único escáner no es suficiente.
-
El ecosistema de IA avanza más rápido de lo que las herramientas de seguridad pueden adaptarse.
-
Las discrepancias entre cómo PyTorch maneja los archivos y cómo lo hacen las herramientas de seguridad crean brechas peligrosas.
El investigador David Cohen advierte que la creciente complejidad de bibliotecas como PyTorch dificulta mantener un ritmo adecuado de protección frente a nuevos vectores de ataque.
Urge una arquitectura de seguridad adaptativa para IA
Los hallazgos evidencian la necesidad de un enfoque más avanzado para la seguridad en machine learning, basado en:
-
Proxies de seguridad con análisis dinámico
-
Investigación continua de nuevos modelos y formatos
-
Evaluación automatizada de comportamiento en tiempo real
-
Detección basada en inteligencia y no solo en listas de bloqueo
En un entorno donde la IA genera modelos más complejos cada día, solo una estrategia de seguridad adaptativa podrá proteger efectivamente a desarrolladores y organizaciones frente a amenazas avanzadas.
Fuente: The Hacker News
