ShadowMQ: falha silenciosa que expôs vulnerabilidades na infraestrutura de IA

O ecossistema de IA acaba de ganhar um novo vilão: o ShadowMQ. A vulnerabilidade se espalhou de forma discreta entre projetos bastante conhecidos, atingindo frameworks usados por empresas como Meta, Nvidia, Microsoft e outras gigantes do setor.

A descoberta, feita pela equipe da Oligo Security, expôs como a simples prática de reaproveitar trechos de código (algo comum e até incentivado) pode abrir brechas sérias na infraestrutura que sustenta grande parte das aplicações modernas de IA.

Falha ShadowMQ atinge grandes frameworks e expõe dados sensíveis e operações em servidores de IA corporativos.
Falha ShadowMQ atinge grandes frameworks e expõe dados sensíveis e operações em servidores de IA corporativos. Imagem: Song_about_summer/Shutterstock

Uma descoberta que revelou um padrão maior

O caso veio à tona em 2024, quando pesquisadores analisavam o LlaMa Stack, da Meta, e encontraram um uso problemático do método recv_pyobj() do ZeroMQ (ZMQ). Ele abre mensagens usando pickle, um sistema capaz de executar código automaticamente ao ler certos dados.

Em um servidor acessível pela internet, isso vira um risco evidente: uma mensagem mal-intencionada pode ser interpretada como um comando legítimo – e o sistema simplesmente o executa.

A Meta corrigiu o problema rapidamente, trocando pickle por JSON. Mas o que chamou atenção depois foi algo mais preocupante: outros frameworks traziam exatamente o mesmo trecho vulnerável, copiado quase ao pé da letra.

Assim surgiu o nome ShadowMQ – uma falha que se espalha sem que ninguém perceba, apenas porque um projeto herda o código do outro.

Por que isso virou um problema em cadeia

A mesma falha apareceu em frameworks amplamente usados em empresas e universidades. No SGLang, por exemplo, o próprio arquivo mencionava que havia sido adaptado do vLLM, trazendo junto toda a lógica insegura.

Esses sistemas costumam rodar em servidores potentes, com várias GPUs e informações sensíveis. Isso torna o cenário ainda mais crítico: uma vulnerabilidade desse tipo pode permitir ataques graves, como execução remota de código (RCE), em que o invasor envia um comando e o servidor age como se fosse algo legítimo.

Para demonstrar que o risco não era teórico, a Oligo gravou ataques reais funcionando em ferramentas como Nvidia TensorRT-LLM e Modular Max.

O uso inseguro de pickle no Llama Stack permitiu que mensagens maliciosas executem comandos no servidor.
O uso inseguro de pickle no Llama Stack permitiu que mensagens maliciosas executem comandos no servidor. Imagem: Fajri Mulia Hidayat/Shutterstock

O que poderia acontecer se a falha fosse explorada

Segundo os pesquisadores, um invasor poderia:

  • executar comandos diretamente no servidor de IA;
  • acessar outros sistemas internos conectados a ele;
  • vazar informações sensíveis;
  • instalar programas maliciosos, como mineradores de criptomoedas;
  • comprometer clusters inteiros usados em produção.

O alerta fica ainda mais forte porque milhares de sockets ZMQ estão expostos na internet pública – alguns justamente em servidores voltados à execução de modelos de IA.

As correções já feitas

Após os relatórios, vários projetos liberaram atualizações:

  • Meta Llama Stack (out/2024) – remoção do pickle e adoção de JSON.
  • vLLM (mai/2025) – substituição do mecanismo vulnerável por outro seguro.
  • NVIDIA TensorRT-LLM (mai/2025) – implementação de autenticação HMAC.
  • Modular Max Server (jun/2025) – migração para msgpack.

Mas nem todos avançaram da mesma forma.

O Sarathi-Serve, da Microsoft, segue vulnerável.
O SGLang aplicou correções parciais, o que deixa parte do risco ativo.

Esses casos foram classificados como “vulnerabilidades ocultas”: falhas que já são conhecidas, mas continuam prontas para serem exploradas.

O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início.
O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início. Imagem: BOY ANTHONY/Shutterstock

Como reduzir riscos daqui pra frente

Para evitar novas falhas como o ShadowMQ, especialistas orientam instalar as versões corrigidas dos frameworks e abandonar soluções que reconstruam dados automaticamente a partir de fontes externas, como pickle ou recv_pyobj().

Também recomendam adicionar autenticação às conexões ZeroMQ, limitar sockets para uso interno e reforçar o treinamento das equipes para reconhecer riscos na manipulação de dados recebidos pela rede.

Leia mais:

O caso ShadowMQ mostra como copiar código sem revisão pode disseminar vulnerabilidades em diferentes projetos de IA. O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início.

O post ShadowMQ: falha silenciosa que expôs vulnerabilidades na infraestrutura de IA apareceu primeiro em Olhar Digital.



Fonte: Leia a matéria original

at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

A.I. Toy Bear Speaks of Sex, Knives and Pills, Consumer Group Warns

The chatter left startled adults unsure whether they heard correctly. Testers warned that interactive toys like this one could allow childre...