Hugging Face LeRobot の RCE 脆弱性 CVE-2026-25874:パッチ提供までの対策とは?

Hugging Face LeRobot Vulnerability Enables Unauthenticated RCE Attacks

2026/04/29 CyberSecurityNews — Hugging Face が公開したのは、オープンソース機械学習フレームワーク LeRobot に存在する、深刻なリモートコード実行 (RCE) の脆弱性に関する情報である。脆弱性 CVE-2026-25874 (CVSS 9.3) を悪用する未認証の攻撃者は、脆弱なホスト・マシン上で任意のシステム・コマンド実行を可能にする。

実世界のロボティクス向けに Hugging Face が提供する LeRobot は、GitHub で約 24,000 のスターを獲得している。したがって、この脆弱性は、AI インフラや接続されたロボットに加えて、機密性の高い独自データにも深刻なリスクをもたらす。

安全でない pickle デシリアライズ

Chocapikk により公開された詳細な PoC (proof-of-concept) によると、負荷の大きな計算処理を GPU サーバへオフロードする async 推論モジュールに、この脆弱性は存在する。

PolicyServer/RobotClient コンポーネントは、認証されていない gRPC チャネル経由で送信されるデータをデシリアライズするために、Python 標準の “pickle” モジュールを使用している。

gRPC サーバは、Transport Layer Security (TLS) や認証を持たずに add_insecure_port() を使用するため、ネットワーク・アクセスが可能な任意のユーザーが、各種のサービスに対して直接接続できる状況にある。

SendPolicyInstructions や SendObservations といった RPC ハンドラ経由で、細工されたシリアライズ済みペイロードを送信する攻撃者は、任意コード実行を自動的に引き起こすことが可能になる。

悪意のペイロードは、”pickle.loads()” プロセス中に即座に実行され、システムがデータ・タイプの検証を行う前に処理される。この脆弱性の悪用において、認証情報や複雑な攻撃チェーンは不要である。

一般的に、高価な GPU リソースや大規模データセットを管理する AI 推論サーバは、高権限で実行されることが多いため、侵害が成功した場合の影響は壊滅的である。

攻撃者は、ホスト・マシンに対する完全な管理者権限の取得が可能である。さらに、内部ネットワーク内での横展開/機械学習モデルの破壊/Hugging Face API キーの流出/接続されたロボットの物理的動作の妨害が可能となる。

この脆弱性が影響を及ぼす範囲は、LeRobot バージョン 0.5.1 以下である。

Chocapikk のセキュリティ研究者が指摘するのは、このコードベースにおける皮肉な側面である。本来 Hugging Face は、”pickle” シリアライズに伴う深刻なセキュリティ・リスクを排除するために “safetensors” フォーマットを開発していた。しかし、この安全な代替手段が提供されるにもかかわらず、LeRobot 開発者は利便性のために、安全でない “pickle” フォーマットを使用していた。

さらに Chocapikk が発見したのは、ソースコード内の “pickle.loads()” 呼び出しの前後に、”# nosec” コメントが含まれていることだった。これらのコメントは、開発時に脆弱性を正確に検出していた自動セキュリティ・リンターの警告を抑制するために、意図的に配置されていた。

緩和策

LeRobot の計画は、今後のバージョン 0.6.0 において、”pickle” を “safetensors” および JSON に置き換える恒久的なパッチを提供することだ。

この公式修正が適用されるまで、ユーザー組織にとって必要なことは、防御対策の速やかな実施である:

  • 信頼されないネットワークやインターネットへ、LeRobot の async 推論サーバが公開されないようにするために、ネットワーク・アクセスを制限する。
  • サーバを 0.0.0.0 ではなく localhost に厳密にバインドし、すべての外部接続試行を遮断する。
  • 強力な API ゲートウェイ/VPN/ネットワークレベルのファイアウォールを実装し、gRPC ポートへ到達する前に厳格な認証を強制する。

訳者後書:脆弱性 CVE-2026-25874 は、 AI やロボティクス開発で注目される LeRobot フレームワークにおいて、データの読み込み処理に潜んでいた極めて深刻な問題です。原因の核心は、信頼できない外部からのデータを、 Python の “pickle” モジュールを使用してデシリアライズ してしまったことにあります。この “pickle” は、データ構造を簡単に保存/復元できる便利なツールですが、悪意のデータが含まれている場合に、その中身を解析する過程で、任意のシステム・コマンドを自動的に実行してしまうという性質を持っています。さらに、通信を制御する gRPC サーバが認証なしで接続を受け入れていたことで、ネットワークにアクセスできるユーザーが、悪意のデータを送り込める状態にありました。ご利用のチームは、ご注意ください。よろしければ、Hugging Face での検索結果も、ご参照ください。