{"id":21848,"date":"2025-02-10T19:01:43","date_gmt":"2025-02-10T22:01:43","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21848"},"modified":"2025-02-17T12:13:46","modified_gmt":"2025-02-17T15:13:46","slug":"modelos-de-ml-maliciosos-aproveitampicles-quebrados-para-evitar-a-deteccao","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/exploits\/modelos-de-ml-maliciosos-aproveitampicles-quebrados-para-evitar-a-deteccao\/","title":{"rendered":"Modelos de ML maliciosos e picles quebrados"},"content":{"rendered":"\n

Modelos de ML maliciosos aproveitam o formato de picles quebrados para evitar a detec\u00e7\u00e3o<\/strong><\/p>\n

Recentemente, pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram dois modelos de\u00a0machine learning (ML)<\/strong>\u00a0maliciosos na plataforma\u00a0Hugging Face<\/strong>. Esses modelos exploraram uma t\u00e9cnica incomum envolvendo arquivos\u00a0Pickle “quebrados”<\/strong>\u00a0para evadir detec\u00e7\u00e3o. O caso, batizado de\u00a0nullifAI<\/strong>, revela uma vulnerabilidade cr\u00edtica no formato de serializa\u00e7\u00e3o Pickle, amplamente utilizado para distribuir modelos de ML.<\/p>\n

Neste artigo, vamos explorar o que aconteceu, os riscos associados ao formato Pickle e como voc\u00ea pode usar scripts em Python para mitigar esses riscos.<\/p>\n

\u00a0<\/p>\n

O Que aconteceu?<\/strong><\/p>\n

Os modelos maliciosos, hospedados nos reposit\u00f3rios\u00a0glockr1\/ballr7<\/code>\u00a0e\u00a0who-r-u0000\/0000000000000000000000000000000000000<\/code>, continham arquivos Pickle manipulados. Esses arquivos inclu\u00edam um\u00a0payload malicioso<\/strong>\u00a0no in\u00edcio do fluxo de dados, que consistia em um\u00a0reverse shell<\/strong>\u00a0conectado a um endere\u00e7o IP pr\u00e9-definido. O objetivo era executar c\u00f3digo arbitr\u00e1rio no sistema da v\u00edtima assim que o modelo fosse carregado.<\/p>\n

\u00a0<\/p>\n

Por que o Pickle \u00e9 um problema?<\/strong><\/p>\n

O formato\u00a0Pickle<\/strong>\u00a0\u00e9 amplamente utilizado para serializar e desserializar objetos em Python, incluindo modelos de ML. No entanto, ele \u00e9 conhecido por ser inseguro, pois permite a execu\u00e7\u00e3o de c\u00f3digo arbitr\u00e1rio durante a desserializa\u00e7\u00e3o. No caso dos modelos maliciosos, os atacantes exploraram essa caracter\u00edstica para injetar c\u00f3digo malicioso.<\/p>\n

Al\u00e9m disso, os modelos foram compactados no formato\u00a07z<\/strong>\u00a0(em vez do formato ZIP padr\u00e3o usado pelo PyTorch), o que ajudou a evitar a detec\u00e7\u00e3o por ferramentas como o\u00a0Picklescan<\/strong>, utilizado pelo Hugging Face para identificar arquivos Pickle suspeitos.<\/p>\n

\u00a0<\/p>\n

\"Modelos<\/p>\n

\u00a0<\/p>\n

Riscos associados ao pickle<\/strong><\/p>\n