- Palo AltoがAI/MLライブラリNeMo、Uni2TS、FlexTokに重大な欠陥を発見
- 脆弱性により、悪意あるモデルのメタデータを介して任意コード実行が可能に
- 2025年半ばまでにすべて修正済み;2025年12月時点で悪用は確認されていない
Palo Alto Networksのセキュリティ研究者は、主要な人工知能(AI)および機械学習(ML)ツールの一部で使用されている脆弱性を発見しました。悪用された場合、脅威アクターが標的のエンドポイント上で悪意あるコードをリモートで実行できる可能性があります。
研究者らはセキュリティ勧告の中で、2025年4月ごろにApple、Salesforce、NVIDIAがGitHubリポジトリで公開している3つのオープンソースPythonライブラリにバグを発見したと述べています。
ライブラリ名はNeMo、Uni2TS、FlexTokです。NeMoは研究向けのPyTorchベースのフレームワーク、Uni2TSはSalesforceのMoraiで使用されている研究向けのPyTorchライブラリ、そしてFlexTokは研究向けのPythonベースのフレームワークで、AIおよびMLモデルが画像を処理できるようにします。これらは合計で、HuggingFace(オープンソースのAIモデルやその他のツールをホストするプラットフォーム)上で1,000万回以上ダウンロードされています。
バグは修正済み
「これらの脆弱性は、メタデータを使って複雑なモデルやパイプラインを構成するライブラリに起因します。そこでは、共有されるサードパーティ製ライブラリが、このメタデータを用いてクラスをインスタンス化します」とPalo Altoは勧告で説明しています。
「これらライブラリの脆弱なバージョンは、提供されたデータをそのままコードとして実行してしまいます。これにより攻撃者はモデルのメタデータに任意のコードを埋め込み、脆弱なライブラリが改変されたモデルを読み込むと自動的に実行させることができます。」
3社すべてに2025年4月に通知され、7月末までにすべて修正されました。NVIDIAはCVE-2025-23304を発行し、深刻度を高(7.8/10)と評価したうえで、NeMo 2.3.2で修正を提供しました。FlexTokは2025年6月にコードを更新し、SalesforceはCVE-2026-22584を発行して深刻度を重大(9.8/10)と評価し、2025年7月に修正しました。
Palo Altoによると、2025年12月時点で、これらの脆弱性が実環境で悪用されている証拠はありません。これらのバグはすべて、同社のPrisma AIRSツールによって発見されました。
