Eine Sicherheitsforscherin von Cato Networks meldet Schwachstellen in Nvidia NeMo und Meta PyTorch, durch die das Laden manipulierter KI-Modelle zur Remote Code Execution und zum Abgriff von Geheimnissen führen kann. Ein Fix ist für NeMo ab Version 2.6.1 verfügbar, für PyTorch gibt es keinen Patch, aber Workarounds.
Die Schwachstellen in NeMo und PyTorch ermöglichen beim Laden manipulierter Modelle Remote Code Execution, den Abgriff von Credentials und Secrets und damit möglicherweise auch die vollständige Kompromittierung von ML‑Systemen und angebundenen Cloud‑Ressourcen.
Eine Sicherheitsforscherin von Cato Networks berichtet, zwei Schwachstellen in den KI-Frameworks von Nvidia und Meta entdeckt zu haben. Bei den Framewoks handelt es sich um und Metas PyTorch und das darauf basierende NeMo von Nvidia. Während für das in Letzterem bestehende Problem eine CVE-ID vergeben wurde, habe Meta den von Cato gemeldeten Fehler als „out of scope“ eingestuft und nicht weiter verfolgt.
Beide Frameworks laden bei Missbrauch manipulierte KI-Modelle. Dies ist gefährlich, da viele Unternehmen KI-Modelle häufig aus öffentlichen Repositories wie HuggingFace direkt in Umgebungen mit Zugriff auf Cloud-Zugangsdaten, Data Lakes und Produktionsinfrastruktur laden. Das Risiko aufgrund der Schwachstellen in NeMo und PyTorch ist Cato zufolge, dass Angreifer damit Remote Code ausführen können.
Die Nvidia-Schwachstelle betrifft ein verbreitetes Framework zum Trainieren und Anpassen großer Sprachmodelle in Unternehmensumgebungen. Das Kernproblem liege in der Behandlung eines Parameters namens „trust_remote_code“. Normalerweise kontrolliere dieser Parameter, ob Python-Code, der in einem KI-Modell-Repository enthalten ist, während der Import ausgeführt wird. Der Standard sollte „False“ sein, doch NeMo habe diesen Parameter in mehreren Model-Importern auf „True“ gesetzt. Das bedeutet laut der Analystin Inga Cherny, dass beim Import eines Modells von HuggingFace automatisch beliebiger Python-Code aus dem Repository ausgeführt wird, ohne dass der Benutzer darauf hingewiesen wird.
Ein Angreifer könne ein HuggingFace-Repository erstellen, das wie ein legitimes KI-Modell aussehe, aber zusätzlich Python-Dateien mit versteckten Schadcode-Payloads enthalte. Beim Import würde NeMo diese Dateien automatisch ausführen, wodurch der Angreifer Zugriff auf Umgebungsvariablen, Cloud-Credentials und API-Schlüssel erhalten würden. Die Angreifer hätten mehrere Möglichkeiten, um Opfer zum Import eines solchen Modells zu bewegen: Durch Typosquatting könnten sie beispielsweise ein Repository „meta-1lama“, mit der Ziffer 1„)“, statt „meta-llama“, mit Buchstabe „l“, registrieren. Alternativ seien sie in der Lage, über Social Engineering auf Plattformen wie Reddit oder Discord ein vermeintlich verbessertes Modell zu teilen oder bereits kompromittierte Entwickler-Accounts zu missbrauchen und bösartige Updates in bestehende, vertrauenswürdige Repositories zu pushen.
Nachdem Cato die Schwachstelle eigenen Angaben am 10. September 2025 gemeldet hat, erhielt sie am 17. Februar 2026 die IDs EUVD-2025-207811 beziehungsweise CVE-2025-33236. Sie wurde mit einem CVSS-Score von 7.8 eingestuft. Zum jetzigen Zeitpunkt besteht ein geringer EPSS-Score* von 0.02 Prozent. Die Schwachstelle betrifft alle Versionen vor 2.6.1 des NeMo-Frameworks, Nutzer sollten schnellstmöglich Version 2.6.1 oder jünger installieren. Die aktuellste Version ist 2.7.3.
Die Meta PyTorch-Schwachstelle betrifft das dominierende Machine-Learning-Framework für KI-Modellentwicklung von Meta. PyTorch speichert KI-Modelle im Python-pickle-Format, welches ausführbaren Code in Datendateien einbetten kann. Die Risiken der Pickle-Deserialisierung, wie Remote-Code-Ausführung beim Laden manipulierter Modelle und Diebstahl sensibler Geheimnisse durch Kompromittierung der Umgebung, sind lange bekannt, weshalb die Industrie den Parameter „weights_only=True“ als Sicherheitsmechanismus entwickelt hat. Diese Einstellung soll beschränken, welche Python-Klassen während des Ladens deserialisiert werden können. Sie wird laut Cherny als Best Practice empfohlen.
Allerdings haben die Cybersecurity-Experten von Cato festgestellt, dass dieser Schutzmechanismus umgangen werden könne. Das Problem liege in einer fehlenden Validierung. „weights_only=True“ überprüfe zwar die Pickle-Klassen, validiere aber nicht die Tensor-Größen gegenüber den tatsächlichen Daten. Ein Angreifer könne eine „.pt“-Datei so manipulieren, dass die Pickle-Metadaten einen großen Tensor-Umfang behaupten, während die tatsächliche Datei winzig ist. PyTorch vertraue der behaupteten Größe, weise einen zu kleinen Buffer zu und schaffe damit einen klassischen Heap-Buffer-Overflow. Das Kritische dabei sei, dass auch Organisationen, die jede Best Practice befolgen, also Checksummen verifizieren, Quellen überprüfen und „weights_only=True“ aktivieren, dennoch anfällig bleiben würden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cato habe die Schwachstelle am 22. Dezember 2025 entdeckt und am 23. Dezember 2025 an das Sicherheitsteam von Meta PyTorch gemeldet. Am 29. Januar 2026 sei die Meldung vom Anbieter als „out of scope“ geschlossen worden. Dies bedeutet, dass Meta den Fund als außerhalb des Geltungsbereichs seines Bug-Bounty-Programms einstuft und ihn daher über diesen Kanal nicht behebt oder dafür eine Prämie ausschüttet.
Cato behandelt Metas Einstufung nicht als Entwarnung, sondern als Anlass, macht die Sicherheitslücke trotzdem publik, um Kunden und Anwender zu warnen. Außerdem stellt Cato einige Schutzmaßnahmen bereit. Nutzer sollten...
sicherstellen, dass alle AI/ML-Frameworks auf die neuesten, vom Anbieter gepatchten Versionen aktualisiert sind,
die Verwendung von „trust_remote_code=True“ vermeiden,
nicht davon ausgehen, dass „weights_only=True“ ausreicht, sondern auf Upstream-Patches achten und diese unverzüglich anwenden,
Safetensors gegenüber Pickle-basierten Formaten bevorzugen und
KI-Modelle in Sandbox-Umgebungen laden. Sie sollten niemals nicht vertrauenswürdige KI-Modelle auf Systemen laden, die über Produktionszugangsdaten verfügen.
„Da der Austausch von Modellen immer rasanter voranschreitet und KI-Pipelines zunehmend zu kritischer Infrastruktur avancieren, wird diese Angriffsfläche weiter wachsen“, schließt Cherny ihren Bericht. „Die Branche benötigt hier denselben Grad an Sorgfalt, wie sie ihn bereits für traditionelle Software-Lieferketten etabliert hat: digitale Signaturen, Verifikation, Herkunftsnachweise, Sandboxing und – vor allem – Konfigurationen, die standardmäßig auf Sicherheit ausgelegt sind.“
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/05/7605d94c87c07eafdca048abc6e1ecc0/0131118294v2.jpeg "Mithilfe einer gut geübten Incident Response schwindet der erste Schock im Falle einer Ransomware-Attacke schnell. Die passende Strategie lernen Sie beim Workshop „ „Incident Response Ransomware“ bei der ISX IT-Security-Conference. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/62/6362dfe12e8a27979f7c703b7bbc7c78/0131010769v1.jpeg "Die Schwachstellen in NeMo und PyTorch ermöglichen beim Laden manipulierter Modelle Remote Code Execution, den Abgriff von Credentials und Secrets und damit möglicherweise auch die vollständige Kompromittierung von ML‑Systemen und angebundenen Cloud‑Ressourcen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/59/43/5943312de71f19fc816f2e93f2c6a5fe/0131151874v1.jpeg "Trellix untersucht einen Cyberangriff auf interne Quellcode-Repositorys. Hinweise auf eine Manipulation oder missbräuchliche Nutzung des Codes gibt es nach Unternehmensangaben bislang nicht. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/51/3f/513fb8ad773735234d88126b9a537ec9/0131014819v2.jpeg "Mit einem Root‑Zugriff in OpenSSH könnten Cyberkriminelle die Kontrolle über den Server erlangen, beliebige Befehle ausführen, alle Daten lesen, Konten und Dienste manipulieren sowie Sicherheitsmechanismen umgehen oder deaktivieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/f1/62f16cf153772070afd5b7ef8c59ddb8/0129252860v1.jpeg "FlyOOBE öffnet den Installationspfad zu Windows 11 auch auf offiziell nicht unterstützter Hardware. (Bild: FlyOOBE)")
:quality(80)/p7i.vogel.de/wcms/b1/05/b1054226a3dadf892c244cc69a39004a/0130914341v2.jpeg "Jede Gefahr für IT-Sicherheit geht von menschlichen Tätern aus. Sie aufzuhalten, bevor die eigentlichen digitalen Sicherheitsmaßnahmen greifen müssen, ist daher ganz und gar nicht optional. (Bild: © zinkevych - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/a3/c7a3513d7b8e853b8639e3d84f003225/0130594750v1.jpeg "CloudM ist eine Plattform für Cloud-Datenmanagement mit Fokus auf Google Workspace und Microsoft 365, die Datenmigration, Nutzerverwaltung und Geschäftskontinuität abdeckt. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/82/1b82f6c30153361498d21d56d8a0a44e/0130843915v2.jpeg "Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/ab/d7ab758d53e1715c628d27dda3d9b308/0130832273v2.jpeg "Unkontrollierte VPN-Zugänge sind eine offene Tür für Angreifer. Privileged Access Management ersetzt VPN durch granulare Kontrolle und automatisierte Rechtevergabe. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/eb/f9eb0ec3acf7efc9b0b695a9760acd9f/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht heißt. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/7d/947d5b2330dfde36be987ba8c1c7ab87/0130913294v2.jpeg "NIS-2 macht Cybersicherheit zur Bedingung für die Marktteilnahme. Wer die Anforderungen nicht nachweisen kann, riskiert den Ausschluss aus regulierten Lieferketten. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/d9/ca/d9ca10c14ad3318723d5e0781475f3c0/0125540345v1.jpeg "Paket-Halluzinationen verbreiten sich wie Lauffeuer durch KI-gestützte Autovervollständigung von Code, durch gefälschte Tutorials und KI-generierte, wiederverwendbare Code-Snippets. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d0/77d08997d439a45c27349d1c2cd6ae7d/0129345103v2.jpeg "Ohne Kontext erzeugen KI-Security-Tools mehr Alarmmüdigkeit als Schutz . Drei Kriterien helfen, ineffiziente Tool-Stacks zu vermeiden und messbaren Wert zu schaffen. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/97/3d9766294184f807990612e7f58bf2b3/0130059255v2.jpeg "KI-gestützte Entwicklungstools versprechen Produktivitätsgewinne, doch Prompt-Injection-Angriffe und autonome Spionagekampagnen zeigen die wachsenden Risiken für Unternehmen. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3b/c3/3bc35ab6dfdce7e2620d467a40ba9752/0126056041v2.jpeg "NVIDIA hat mehrere kritische Schwachstellen im Triton Inference Server geschlossen. Drei davon erlauben Remote-Codeausführung über das Netzwerk. (Bild: © Westlight - stock.adobe.com)")