Deserialización insegura en mamba hasta 2.2.6 permite RCE al cargar modelos de HuggingFace Hub

Descripción de la vulnerabilidad

El framework de modelos de lenguaje mamba, en todas sus versiones hasta la 2.2.6 inclusive, presenta una vulnerabilidad de deserialización insegura catalogada bajo CWE-502. El problema se manifiesta específicamente durante la carga de modelos preentrenados desde HuggingFace Hub, una operación habitual en flujos de trabajo de IA y aprendizaje automático.

Componente afectado

El método MambaLMHeadModel.from_pretrained() es el punto de entrada vulnerable. Internamente, este método invoca torch.load() para cargar el archivo de pesos pytorch_model.bin, sin activar el parámetro de seguridad weights_only=True. Esta omisión es crítica: cuando weights_only no se establece en True, PyTorch delega la deserialización al módulo pickle de Python sin restricciones, lo que permite la reconstrucción de objetos Python arbitrarios durante la carga del archivo.

# Llamada vulnerable (sin weights_only=True)
model = MambaLMHeadModel.from_pretrained("nombre-repositorio-malicioso")

Vector de ataque

Un atacante puede explotar esta vulnerabilidad publicando un repositorio de modelo malicioso en HuggingFace Hub. El repositorio aparenta contener un modelo legítimo, pero el archivo pytorch_model.bin ha sido manipulado para incluir objetos Python serializados con cargas útiles arbitrarias. Cuando una víctima ejecuta la carga del modelo desde ese repositorio, el proceso de deserialización ejecuta automáticamente el código embebido en el contexto del proceso mamba, sin ninguna interacción adicional por parte del usuario.

Impacto

La explotación exitosa resulta en ejecución de código arbitrario en el sistema de la víctima, con los mismos privilegios que el proceso mamba en ejecución. Esto puede derivar en compromiso total del entorno de trabajo, exfiltración de datos, instalación de malware persistente o movimiento lateral dentro de la infraestructura afectada. El impacto es especialmente relevante en entornos de investigación, pipelines de MLOps y sistemas de producción que consumen modelos directamente desde HuggingFace Hub sin validación adicional.

Población afectada

Se ven afectados todos los usuarios y organizaciones que utilicen el framework mamba en versiones hasta la 2.2.6 y que carguen modelos preentrenados mediante el método from_pretrained(). Dado que HuggingFace Hub es una plataforma de distribución masiva de modelos de IA, la superficie de ataque es amplia y abarca tanto entornos de investigación académica como despliegues empresariales.

Recomendaciones

Se recomienda actualizar el framework mamba a una versión que corrija esta vulnerabilidad. Mientras no se disponga de una versión parcheada, los equipos de seguridad deben considerar las siguientes medidas de mitigación: verificar la procedencia y la integridad de los repositorios de modelos antes de cargarlos, restringir el acceso a HuggingFace Hub desde entornos de producción sensibles, y auditar los pipelines de carga de modelos para identificar otros usos de torch.load() sin el parámetro weights_only=True.