Hugging Face LeRobot 現嚴重零日漏洞：未驗證攻擊者可遠端執行任意指令

資安研究人員公開揭露了 Hugging Face 開源機器人平台 LeRobot 中的一個嚴重安全漏洞，CVSS 嚴重程度評分高達 9.8（滿分10分）——且目前尚未有任何修補程式釋出。這個被追蹤為 CVE-2026-25874 的漏洞，允許未經驗證的攻擊者透過裸露的 gRPC 網路端點，利用不安全的 Python pickle 反序列化，在任何易受攻擊的 LeRobot 部署環境中執行任意指令。

這次揭露正值物理AI生態系統快速擴展的關鍵時刻。LeRobot 已成為最主流的開源機器人操作策略訓練與部署框架，在 GitHub 上擁有逾 21,500 顆星，活躍部署於研究機構、大學機器人實驗室，以及日益增多的早期商業生產環境中。這個漏洞結合了最高等級的網路可利用性（無需憑證、無需事先取得存取權），以及其所暴露系統的高度敏感性（GPU 叢集、機器人硬體、內部研究網路），堪稱迄今為止 AI 基礎設施領域最具影響力的安全揭露之一。

攻擊原理

漏洞存在於 LeRobot 的非同步推理架構中，具體位置在 PolicyServer 元件——該元件透過 gRPC 遠端程序呼叫，將計算密集的策略推理任務卸載至 GPU 後端伺服器。

核心問題只有一行程式碼：PolicyServer 使用 Python 內建的 pickle.loads() 函數，對所有 RPC 端點的傳入資料進行反序列化。Pickle 反序列化是資安領域中有充分文獻記載的危險操作類型——在反序列化過程中，嵌入在精心構造的酬載（payload）中的任意 Python 程式碼可在任何應用層驗證執行之前就被執行。攻擊者只需能連上 gRPC 端點，傳送一個惡意的 pickle 酬載，伺服器便會執行其中包含的指令。

更嚴重的問題在於：gRPC 服務設定使用了 add_insecure_port()，意即所有通訊均在沒有 TLS 加密、也沒有任何身份驗證控制的情況下進行。沒有 token 可竊取、沒有憑證可暴力破解——端點就這樣對網路上任何人完全開放。

在研究與大學實驗室環境中，LeRobot 伺服器通常設定為在內部網路上可被多名研究員存取（以共享 GPU 推理資源），「網路上任何人」可以是相當龐大的攻擊面。

攻擊者能取得什麼

這個漏洞的嚴重性，因 LeRobot 伺服器通常所能存取的資源而大幅放大。

由於 LeRobot 設計用於 GPU 加速推理，執行該平台的伺服器往往以提升的系統權限——有時甚至是 root——運作，以管理 CUDA 驅動程式與 GPU 硬體。因此，成功的遠端程式碼執行漏洞利用，通常能在底層主機上取得具備提升權限的 shell。

從那裡出發，攻擊者可存取：

• 機器人硬體介面：連接到伺服器的實體機器人可被下達指令。在研究環境中，這可能意味著在研究人員或工作人員附近，機械臂出現危險且無法控制的動作。
• 訓練資料集與模型權重：LeRobot 研究環境通常儲存大量專有資料集（代表數月乃至數年的資料蒐集成果）以及訓練好的策略權重，兩者都是高價值的智慧財產竊取或破壞目標。
• 內部網路存取：位於研究網路信任邊界內的 GPU 伺服器上若取得 RCE 立足點，即可向同一網段的其他系統橫向移動——工作站、檔案伺服器、資料儲存庫等。
• 雲端運算憑證：許多 LeRobot 部署運行於雲端 GPU 執行個體上，執行個體元資料服務（metadata service）可暴露雲端供應商憑證。受攻擊的伺服器往往是進入更廣泛雲端帳號的跳板。

揭露時間軸與補丁狀況

資安研究人員透過負責任揭露管道向 Hugging Face 提交了漏洞報告。截至本文發布日，LeRobot 尚未釋出任何修補程式。Hugging Face 團隊已確認收到報告，但修復需要對推理管線進行架構層面的改動——而非單純修改一行程式碼——因為根本問題在於需要在整個 PolicyServer 中以更安全的替代方案取代 pickle 序列化機制。

研究人員與資安團隊已確認，CVE-2026-25874 影響 LeRobot 截至最新版本的所有版本。

即時緩解措施

在等待官方補丁期間，任何在網路環境中運行 LeRobot 的組織應立即採取以下措施：

網路隔離。 最有效的即時措施：確保 gRPC PolicyServer 端點無法從不受信任的網段存取。若 LeRobot 推理伺服器必須供團隊共享，應使用 VPN 或防火牆規則，將存取限制在特定的已知 IP 位址。若伺服器以任何形式對外公開，應立即下線至補丁可用為止。

取代 pickle 序列化。 有能力修改部署的開發者應在 PolicyServer 中以更安全的序列化替代方案取代 pickle.loads()。揭露 CVE-2026-25874 的研究人員建議：簡單資料類型使用 JSON 序列化、結構化 RPC 資料使用原生 protobuf 欄位編碼、模型權重傳輸則使用 Hugging Face 自家的 safetensors 格式。這些替代方案在反序列化過程中均不允許任意程式碼執行。

啟用 TLS 與身份驗證。 將 add_insecure_port() 改為搭配有效 TLS 憑證的 add_secure_port()，並實作在所有傳入請求上強制執行基於 token 之存取控制的 gRPC 攔截器。即便在 pickle 問題解決之前，這些改動也能防止網路層攔截，並要求攻擊者先取得有效憑證才能接觸到反序列化器——大幅提高攻擊門檻。

稽核存取日誌。 檢視現有的 gRPC 伺服器存取日誌，尋找異常連線模式。若已啟用日誌記錄，pickle 攻擊會在伺服器日誌中留下痕跡；不尋常的來源位址或觸發錯誤回應的畸形酬載，可能表明有過先前的利用嘗試。

更廣泛的問題模式

CVE-2026-25874 並非孤立事件，它反映出一個結構性張力：隨著開源 AI 工具快速普及，建置這些框架的通常是以能力、彈性和開發者體驗為優先的研究工程師，而非為對抗性網路環境所設計的資安工程師。

LeRobot 的誕生，是為了讓機器人學習研究民主化——讓大學實驗室與獨立研究員都能使用原本只有大型、資源充足的機器人公司才能在內部打造的策略訓練管線。這個使命取得了非凡成功，21,500 顆 GitHub 星便是明證。但這個框架在設計之初，並未假設它會運行在有潛在攻擊者存在的網路暴露伺服器上。

隨著機器人 AI 從研究環境邁向工業與商業部署——這些相同的框架日益被用作起點——基礎開源工具的安全狀態已成為關鍵基礎設施的一環。機器人安全社群已警告多年：「開源訓練框架」與「工廠現場部署」之間的距離正在縮短，而學術實驗室適用的安全實踐，並不足以應對工業環境。

CVE-2026-25874 是這個警告的實證。Hugging Face 打造了一個加速全球機器人研究的傑出平台。補丁的釋出，愈快愈好。