Kerentanan Kritis LeRobot Hugging Face Buka Celah RCE Tanpa Autentikasi

Peneliti keamanan siber mengungkapkan adanya kerentanan kritis pada LeRobot, platform robotika open-source dari Hugging Face yang memiliki hampir 24.000 bintang di GitHub, yang memungkinkan pelaku jahat melakukan remote code execution (RCE) tanpa autentikasi.

Kerentanan tersebut tercatat dengan kode CVE-2026-25874 dan memiliki skor CVSS sebesar 9.3. Inti masalahnya adalah deserialisasi data tidak terpercaya yang disebabkan penggunaan format pickle yang tidak aman.

Detail Kerentanan dan Cara Eksploitasi

Menurut advis keamanan di GitHub, "LeRobot mengandung kerentanan deserialisasi tidak aman pada pipeline inferensi asinkron, di mana pickle.loads() digunakan untuk mendeserialisasi data yang diterima melalui saluran gRPC tanpa autentikasi dan tanpa TLS pada komponen policy server dan robot client."

"Penyerang yang tidak terautentikasi dan dapat mengakses jaringan dapat menjalankan kode secara arbitrer di server atau klien dengan mengirimkan payload pickle yang dirancang khusus melalui panggilan gRPC SendPolicyInstructions, SendObservations, atau GetActions."

Menurut perusahaan keamanan Resecurity, masalah ini berakar pada komponen PolicyServer dalam pipeline inferensi asinkron. Penyerang yang dapat menjangkau port jaringan PolicyServer bisa mengirim payload serialisasi berbahaya dan mengeksekusi perintah sistem operasi secara bebas di mesin host yang menjalankan layanan tersebut.

Dampak Kerentanan pada Sistem AI dan Robotika

Resecurity menilai kerentanan ini sangat berbahaya karena layanan tersebut dirancang untuk sistem inferensi kecerdasan buatan yang biasanya berjalan dengan hak istimewa tinggi untuk mengakses jaringan internal, dataset, dan sumber daya komputasi mahal. Jika dieksploitasi, dampaknya bisa meliputi:

• Eksekusi kode jarak jauh tanpa autentikasi
• Komplet kompromi host PolicyServer
• Pengaruh negatif pada robot yang terhubung
• Pencurian data sensitif seperti kunci API, kredensial SSH, dan berkas model
• Pergerakan lateral di jaringan internal
• Kerusakan layanan, korupsi model, atau sabotase operasi yang berpotensi membahayakan keselamatan fisik

Status Penemuan dan Respons Tim LeRobot

Peneliti VulnCheck, Valentin Lobstein, yang juga mempublikasikan detail tambahan pekan lalu, berhasil memvalidasi kerentanan ini pada versi LeRobot 0.4.3. Hingga saat ini, masalah tersebut belum diperbaiki dan rencana patch akan hadir pada versi 0.6.0.

Menariknya, kerentanan serupa juga dilaporkan secara independen oleh peneliti dengan nama alias "chenpinji" pada Desember 2025. Tim LeRobot menanggapi laporan tersebut pada Januari 2026, mengakui risiko keamanan dan menyatakan bahwa "bagian kode tersebut perlu direfaktor hampir seluruhnya karena implementasi awalnya bersifat eksperimental."

"LeRobot sejauh ini lebih banyak digunakan sebagai alat riset dan prototipe, sehingga keamanan pada tahap deployment belum menjadi fokus utama. Namun, seiring semakin banyaknya adopsi dan penggunaan produksi, kami akan lebih memperhatikan isu-isu seperti ini. Beruntung, sebagai proyek open-source, komunitas juga dapat membantu dengan melaporkan dan memperbaiki kerentanan," kata Steven Palma, pemimpin teknis proyek.

Risiko Penggunaan Format Pickle dalam Keamanan AI

Kasus ini kembali menyoroti bahaya penggunaan format pickle yang memungkinkan eksekusi kode arbitrer hanya dengan memuat berkas yang telah dibuat khusus oleh penyerang. Lobstein menambahkan:

"Ironi yang terjadi sangat sulit untuk dilebih-lebihkan. Hugging Face sendiri mengembangkan Safetensors — format serialisasi yang dirancang khusus karena pickle berbahaya untuk data machine learning. Namun, framework robotika mereka sendiri mendeserialisasi input jaringan yang dikontrol penyerang menggunakan pickle.loads(), bahkan dengan komentar #nosec untuk menonaktifkan alat yang mencoba memperingatkan mereka."

Kejadian ini menjadi pengingat penting bahwa keamanan harus menjadi prioritas utama dalam pengembangan perangkat lunak, terutama untuk proyek yang berkaitan dengan kecerdasan buatan dan robotika yang berpotensi mengakses data dan kendali kritis.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ini bukan hanya soal celah teknis, melainkan juga cerminan dari risiko besar yang muncul ketika keamanan diabaikan dalam fase pengembangan awal, khususnya untuk teknologi yang semakin banyak diadopsi dalam aplikasi nyata. LeRobot yang awalnya dirancang sebagai alat riset kini mulai digunakan dalam produksi, sehingga potensi dampak eksploitasi semakin besar dan berbahaya.

Lebih jauh, penggunaan pickle sebagai format deserialisasi dalam konteks jaringan tanpa proteksi TLS dan autentikasi adalah langkah yang sangat berisiko dan bertentangan dengan praktik keamanan terbaik. Hal ini menunjukkan kebutuhan mendesak untuk mengganti metode serupa dengan format yang lebih aman seperti Safetensors yang dikembangkan Hugging Face sendiri.

Ke depan, publik dan komunitas keamanan harus terus mengawasi pembaruan patch LeRobot dan mendorong transparansi serta peningkatan keamanan pada proyek-proyek open-source yang berpotensi berimplikasi luas terhadap keamanan data dan sistem AI. Untuk informasi lebih lanjut tentang kerentanan ini, kunjungi sumber asli di The Hacker News dan pantau terus perkembangan keamanan siber terbaru.