Siga o Olhar Digital no Google Discover
O ecossistema de IA acaba de ganhar um novo vilão: o ShadowMQ. A vulnerabilidade se espalhou de forma discreta entre projetos bastante conhecidos, atingindo frameworks usados por empresas como Meta, Nvidia, Microsoft e outras gigantes do setor.
A descoberta, feita pela equipe da Oligo Security, expôs como a simples prática de reaproveitar trechos de código (algo comum e até incentivado) pode abrir brechas sérias na infraestrutura que sustenta grande parte das aplicações modernas de IA.
Uma descoberta que revelou um padrão maior
O caso veio à tona em 2024, quando pesquisadores analisavam o LlaMa Stack, da Meta, e encontraram um uso problemático do método recv_pyobj() do ZeroMQ (ZMQ). Ele abre mensagens usando pickle, um sistema capaz de executar código automaticamente ao ler certos dados.
Em um servidor acessível pela internet, isso vira um risco evidente: uma mensagem mal-intencionada pode ser interpretada como um comando legítimo – e o sistema simplesmente o executa.
A Meta corrigiu o problema rapidamente, trocando pickle por JSON. Mas o que chamou atenção depois foi algo mais preocupante: outros frameworks traziam exatamente o mesmo trecho vulnerável, copiado quase ao pé da letra.
Assim surgiu o nome ShadowMQ – uma falha que se espalha sem que ninguém perceba, apenas porque um projeto herda o código do outro.
Por que isso virou um problema em cadeia
A mesma falha apareceu em frameworks amplamente usados em empresas e universidades. No SGLang, por exemplo, o próprio arquivo mencionava que havia sido adaptado do vLLM, trazendo junto toda a lógica insegura.
Esses sistemas costumam rodar em servidores potentes, com várias GPUs e informações sensíveis. Isso torna o cenário ainda mais crítico: uma vulnerabilidade desse tipo pode permitir ataques graves, como execução remota de código (RCE), em que o invasor envia um comando e o servidor age como se fosse algo legítimo.
Para demonstrar que o risco não era teórico, a Oligo gravou ataques reais funcionando em ferramentas como Nvidia TensorRT-LLM e Modular Max.
O que poderia acontecer se a falha fosse explorada
Segundo os pesquisadores, um invasor poderia:
- executar comandos diretamente no servidor de IA;
- acessar outros sistemas internos conectados a ele;
- vazar informações sensíveis;
- instalar programas maliciosos, como mineradores de criptomoedas;
- comprometer clusters inteiros usados em produção.
O alerta fica ainda mais forte porque milhares de sockets ZMQ estão expostos na internet pública – alguns justamente em servidores voltados à execução de modelos de IA.
As correções já feitas
Após os relatórios, vários projetos liberaram atualizações:
- Meta Llama Stack (out/2024) – remoção do pickle e adoção de JSON.
- vLLM (mai/2025) – substituição do mecanismo vulnerável por outro seguro.
- NVIDIA TensorRT-LLM (mai/2025) – implementação de autenticação HMAC.
- Modular Max Server (jun/2025) – migração para msgpack.
Mas nem todos avançaram da mesma forma.
O Sarathi-Serve, da Microsoft, segue vulnerável.
O SGLang aplicou correções parciais, o que deixa parte do risco ativo.
Esses casos foram classificados como “vulnerabilidades ocultas”: falhas que já são conhecidas, mas continuam prontas para serem exploradas.
Como reduzir riscos daqui pra frente
Para evitar novas falhas como o ShadowMQ, especialistas orientam instalar as versões corrigidas dos frameworks e abandonar soluções que reconstruam dados automaticamente a partir de fontes externas, como pickle ou recv_pyobj().
Também recomendam adicionar autenticação às conexões ZeroMQ, limitar sockets para uso interno e reforçar o treinamento das equipes para reconhecer riscos na manipulação de dados recebidos pela rede.
Leia mais:
- Nova vulnerabilidade pode travar navegadores em segundos
- Hackers podem invadir redes celulares à distância, diz estudo
- Pesquisadores descobrem brechas em pagamentos sem contato
O caso ShadowMQ mostra como copiar código sem revisão pode disseminar vulnerabilidades em diferentes projetos de IA. O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início.