Hugging Face機器人平臺LeRobot存在重大漏洞，未經身分驗證的攻擊者可執行任意程式碼

由AI開發資源平臺Hugging Face打造的開源機器人平臺LeRobot，近期揭露重大等級的資安漏洞CVE-2026-25874，此為不安全的反序列化漏洞，未通過身分驗證的攻擊者可透過 SendPolicyInstructions、SendObservations或GetActions gRPC呼叫，傳送特製的Pickle有效酬載，在伺服器或用戶端執行任意程式碼，CVSS v4.0風險評為9.3分、CVSS v3.1達到9.8分，屬重大等級的弱點，相當危險。