Picklescan Açığı: Malicious PyTorch Modellerinin Tehditleri
Giriş
Son zamanlarda, Picklescan adlı açık kaynaklı bir güvenlik aracında üç kritik güvenlik açığı tespit edildi. Bu açıklar, kötü niyetli kişilerin güvenilmeyen PyTorch modellerini yükleyerek rastgele kod çalıştırmalarına olanak tanıyor. Dolayısıyla, bu araç, başlangıçta sağladığı korumaları aşmayı mümkün kılıyor.
Picklescan Nedir?
Picklescan, Matthieu Maitre tarafından geliştirilen bir güvenlik tarayıcısıdır. Python pickle dosyalarını analiz ederek şüpheli importlar veya işlev çağrıları tespit etmeyi amaçlar. Pickle, makine öğreniminde yaygın olarak kullanılan bir serileştirme formatıdır. Ancak pickle dosyaları, güvenlik açığına sahip olabilecek kod parçalarını içerebiliyor.
Güvenlik Açıları Nelerdir?
CVE-2025-10155: Dosya Uzantısı Bypass
Bu açık, belirli bir dosya uzantısını kullanarak tarayıcıyı yanıltmayı mümkün kılıyor. Örneğin, standart bir pickle dosyası yerine “.bin” veya “.pt” gibi PyTorch’a özgü uzantılara sahip dosyalar kullanarak sistemin açık vermesi sağlanabilir. Bu durum, kötü niyetli bir kodun çalışmasına olanak tanır.
CVE-2025-10156: ZIP Arşiv Tarama Bypass
Bu, ZIP arşivlerini taramayı devre dışı bırakmak için özel bir hata (Cyclic Redundancy Check) kullanılarak gerçekleştirilebilir. Saldırgan, bu hatayı ekleyerek Picklescan’ın model dosyalarını taramasını engelleyerek, kötü niyetli içeriğin yüklenmesini sağlar.
CVE-2025-10157: Tehlikeli Import Bypass
Bu açık, Picklescan’ın tehlikeli global kontrolünü aşmak için kullanılabilir. Bu durum, saldırganların, kötü niyetli kodu içeren payload’ları gizleyerek, rastgele kod çalıştırmalarını sağlar.
Beklenen Sonuçlar
Yukarıda belirtilen açıkların başarılı bir şekilde kötüye kullanılması, saldırganların kötü niyetli pickle payloadlarını yaymalarına olanak tanır. Bu durum, büyük ölçekli bir tedarik zinciri saldırısı riskini artırıyor. JFrog’tan güvenlik uzmanı David Cohen, bu açıkların, yerel sistemleri tehlikeye atabileceğini belirtmektedir.
Çözüm ve Gelecek Önerileri
Bu açıklar, 29 Haziran 2025 tarihinde sorumlu bir şekilde bildirildi ve 9 Eylül 2025’te Picklescan’ın yeni versiyonu (0.0.31) ile düzeltildi. Ancak, bu durum, mevcut güvenlik mimarilerinin yeterliliğini sorgulamaktadır. Güvenlik uzmanları, AI kütüphanelerinin karmaşıklığının arttığını ve traditional araçların bu yeniliklere ayak uydurmakta zorlandığını vurgulamaktadır.
Sonuç Olarak
AI modellerinin güvenliği, hızla değişen bir alan. Ülkeler ve organizasyonlar, bu tür açıkları göz önünde bulundurarak sürekli güncel kalmayı hedeflemelidir. Araştırma temelli bir güvenlik proxy’si geliştirmek ve ihlal senaryolarını takip etmek, bu açıkların öngörülmesi ve etkilerinin minimize edilmesine yardımcı olabilir.
