CVE-2026-25874 : une faille critique non corrigée expose les robots IA de Hugging Face

LeRobot est le framework de robotique open source de Hugging Face. Il compte plus de 21 500 étoiles sur GitHub et sert de base à de nombreuses équipes de recherche et d'industrie pour entraîner des politiques d'apprentissage automatique sur des systèmes robotiques réels. Une faille critique, identifiée CVE-2026-25874, y a été découverte et n'est, au moment de la publication, toujours pas corrigée.

---

---

Ce que la faille permet

La vulnérabilité est notée 9.8 sur l'échelle CVSS, soit le niveau maximal pratique. Elle réside dans l'architecture d'inférence asynchrone de LeRobot, qui délègue le calcul des politiques de contrôle à un serveur GPU via un protocole gRPC, le PolicyServer.

Le problème central est l'utilisation de la fonction pickle.loads() de Python pour désérialiser les données reçues par ce serveur. Or pickle est notoirement dangereux lorsqu'il traite des données non fiables : il exécute du code Python arbitraire lors de la désérialisation. N'importe quel attaquant capable d'atteindre le port réseau du PolicyServer peut envoyer une charge utile malveillante et obtenir l'exécution de commandes système sur la machine hôte, sans aucune authentification préalable requise.

La configuration par défaut de LeRobot utilise add_insecure_port(), ce qui signifie qu'aucun chiffrement ni aucun mécanisme d'authentification n'est activé nativement. Dans les déploiements en réseau ouvert ou mal segmenté, l'exposition est directe et immédiate.

Un risque amplifié par le contexte robotique

Les frameworks de robotique présentent une surface d'attaque particulière. Les systèmes qui font tourner LeRobot disposent généralement d'accès privilégiés : connexion à du matériel robotique physique, accès à des GPU coûteux, à des bases de données d'entraînement volumineuses et à des réseaux internes d'infrastructure. Un attaquant qui compromet un noeud LeRobot peut potentiellement pivoter vers l'ensemble du système de production robotique.

Les chercheurs de Resecurity, qui ont documenté la faille, soulignent que les systèmes robotiques font rarement l'objet d'audits de sécurité aussi rigoureux que les applications web ou les APIs. Le domaine de la robotique IA reste en grande partie ancré dans des pratiques de développement héritées des environnements de recherche académique, où la sécurité n'est pas la priorité principale.

Au moment de la divulgation, aucun correctif officiel n'avait été publié par Hugging Face. Les recommandations des chercheurs sont claires : remplacer pickle par des alternatives sécurisées comme les protobuf natifs ou le format safetensors de Hugging Face lui-même, passer en communication sécurisée TLS via add_secure_port(), et mettre en place une authentification par token sur tous les points d'entrée gRPC.

La popularité de LeRobot amplifie mécaniquement l'impact potentiel. Avec 21 500 étoiles GitHub, le framework est déployé dans des contextes très variés, des laboratoires universitaires aux lignes d'assemblage industrielles. Chaque installation exposée sans durcissement représente un vecteur d'attaque potentiel.

Ce que ça signifie pour vous

Si vous utilisez LeRobot dans un environnement de production, vérifiez immédiatement la configuration réseau de votre PolicyServer. Un service exposé sans chiffrement ni authentification est une cible directe. En attendant un correctif officiel, isolez le port gRPC derrière un réseau privé ou un pare-feu strict, et envisagez de déployer un proxy d'authentification en amont. Pour les équipes de recherche qui n'exposent le framework qu'en local, le risque est moindre mais pas nul si leur machine est connectée à un réseau partagé. Cette faille illustre une tension qui va croître à mesure que l'IA investit la robotique physique : la communauté open source va devoir intégrer des pratiques de sécurité par conception, et non en rattrapage.

---

Sources : Resecurity Blog · GBHackers · CyberPress · The IT Nerd