Pesquisadores da Oligo identificaram vulnerabilidades graves em motores de inferência de inteligência artificial, impactando grandes empresas como Meta, Microsoft e Nvidia. As falhas, que permitem a execução de código remoto, estão ligadas ao uso inseguro do ZeroMQ e à desserialização de dados com o módulo pickle do Python, resultando em um padrão de vulnerabilidade denominado ShadowMQ. A principal brecha foi encontrada no framework Llama da Meta, classificada como CVE-2024-50050, com um score CVSS de 6,3/9,3, que foi corrigida em outubro de 2025. Outras tecnologias, como a TensorRT-LLM da Nvidia e o Sarathi-Serve da Microsoft, também apresentaram falhas, com algumas ainda sem correção. A exploração dessas vulnerabilidades pode permitir que invasores executem códigos arbitrários, aumentem privilégios e até roubem modelos de IA. A situação é crítica, pois comprometer um único motor de inferência pode ter consequências severas, como a inserção de agentes maliciosos nas LLMs. O alerta é para que as empresas revisem suas implementações e apliquem as correções necessárias para evitar possíveis ataques.
Fonte: https://canaltech.com.br/seguranca/nem-a-nvidia-escapou-pesquisadores-acham-brechas-graves-em-motores-de-ia/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/11/2025 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidades críticas em motores de IA afetam Nvidia e outras empresas
RESUMO EXECUTIVO
As vulnerabilidades identificadas em motores de IA, como as da Meta e Nvidia, exigem atenção imediata dos CISOs. A exploração dessas falhas pode levar a sérias consequências, incluindo a execução de códigos maliciosos e o roubo de informações, o que pode impactar a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados a violações de dados e interrupções operacionais.
Operacional
Execução de código remoto, roubo de modelos de IA e inserção de agentes maliciosos.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Saúde']
📊 INDICADORES CHAVE
CVE-2024-50050 com score CVSS de 6,3/9,3.
Indicador
CVE-2025-23254 com score CVSS de 8,8.
Contexto BR
CVE-2025-30165 com score CVSS de 8,0 (não corrigida).
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se as versões dos frameworks de IA utilizados estão atualizadas e se as correções foram aplicadas.
2
Implementar patches disponíveis e revisar a configuração do ZeroMQ para evitar a desserialização insegura.
3
Monitorar logs de acesso e atividades suspeitas nas infraestruturas de IA.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das infraestruturas de IA, que são alvos atrativos para invasores. A exploração dessas vulnerabilidades pode resultar em danos significativos e perda de dados.
⚖️ COMPLIANCE
As falhas podem impactar a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
