Il 15 luglio 2026 TrendAI Zero Day Initiative ha reso pubblica l'advisory ZDI-26-429, che documenta una vulnerabilità di esecuzione remota di codice nel NVIDIA NeMo Framework, piattaforma ampiamente adottata per l'addestramento di modelli di linguaggio e sistemi di AI generativa. La falla, riportata al vendor il 5 febbraio 2026, risiede nella deserializzazione non protetta dei checkpoint: file di pesi pre-addestrati che ricercatori e team MLOps scaricano e condividono quotidianamente tra repository pubblici, istanze cloud e ambienti aziendali.
- L'advisory ZDI-26-429 conferma RCE nel NVIDIA NeMo Framework tramite deserialization di dati non attendibili nel parsing dei checkpoint.
- L'attacco richiede interazione utente: la vittima deve aprire un file malevolo o visitare una pagina compromessa.
- Il CVE-2026-24157 è stato assegnato alla stessa vulnerabilità con punteggio CVSS 7.8, classificazione HIGH, secondo i record correlati di ZDI.
- NVIDIA ha rilasciato un aggiornamento correttivo; la disclosure coordinata è avvenuta il 15 luglio 2026, circa cinque mesi dopo la segnalazione iniziale.
La falla nel parsing: quando il checkpoint diventa vettore
La specifica vulnerabilità si annida nel parsing dei checkpoint del framework NeMo. Il meccanismo, descritto nell'advisory ZDI, deriva dalla mancata validazione dei dati forniti dall'utente, che può causare la deserializzazione di dati non attendibili. In sintesi: un checkpoint apparentemente legittimo, caricato nel processo di training o inferenza, esegue codice arbitrario nel contesto del processo corrente.
"This vulnerability allows remote attackers to execute arbitrary code on affected installations of NVIDIA NeMo Framework. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file."
Il requisito di interazione utente non sminuisce il rischio. Nei flussi di lavoro MLOps, il download automatico di pesi da Hugging Face, GitHub o bucket condivisi è prassi standard. Un ricercatore che scarica un checkpoint compromesso e lo carica in un notebook Jupyter o in un job di training su cluster GPU espone l'intero ambiente senza ulteriori barriere. Il processo esegue tipicamente con i privilegi dell'utente che lancia il training, con accesso a dataset montati, variabili d'ambiente e risorse computazionali di valore.
CVE-2026-24157 e la convergenza dei record: stessa falla, doppia conferma
Accanto all'advisory ZDI-26-429, i record correlati di Zero Day Initiative documentano il CVE-2026-24157 assegnato alla stessa vulnerabilità su NVIDIA NeMo Framework, con identica descrizione di deserializzazione di dati non attendibili e RCE. Il punteggio CVSS 7.8, con vettore CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, indica impatto elevato su confidenzialità, integrità e disponibilità, pur con attacco locale e privilegi limitati richiesti.
La fonte ZDI-26-429 principale non esplicita CVE né CVSS nel corpo testuale dell'advisory; questi elementi emergono dal record secondario correlato. La convergenza su prodotto, classe di vulnerabilità e tipologia di impatto rafforza la solidità della claim, senza che i due identificatori siano esplicitamente collegati da cross-reference nel testo.
Perché è importante: il punto cieco della catena di fiducia ML
Il dossier non specifica quali versioni esatte del framework siano interessate, né dettagli il formato di serializzazione vulnerabile — che potrebbe coinvolgere pickle, il formato nativo PyTorch, o altri meccanismi di persistenza dei checkpoint. Questo limite ha rilevanza operativa: senza un elenco di versioni, la verifica dell'esposizione richiede un audit caso per caso dei deployment NeMo attivi.
Il dossier non documenta né conferma né esclude exploit in-the-wild. La fonte non specifica il vettore di distribuzione preferenziale del file malevolo — email, repository compromesso, o altro — né chiarisce se il processo di caricamento del checkpoint venga eseguito con privilegi elevati o limitati.
Il sito ufficiale NVIDIA per gli advisory di sicurezza (nvidia.custhelp.com) ha restituito errore 403 al momento della verifica, rendendo non recuperabili eventuali dettagli aggiuntivi sulla patch rilasciata.
Ciò che resta documentato è sufficiente a delineare un profilo di rischio strutturale. La pratica consolidata di condividere checkpoint pre-addestrati — pilastro dell'ecosistema AI — si fonda su una catena di fiducia implicita: il peso scaricato è codice eseguibile mascherato da dato. Quando la deserializzazione non è protetta, quella catena si trasforma in superficie d'attacco sistematica.
Timeline e dinamica della disclosure
La vulnerabilità è stata segnalata a NVIDIA il 5 febbraio 2026. Il rilascio pubblico coordinato è avvenuto il 15 luglio 2026, un intervallo di circa cinque mesi coerente con le pratiche di disclosure responsabile. Il ricercatore Michael DePlante (@izobashi), affiliato a TrendAI Zero Day Initiative, è accreditato per la scoperta.
NVIDIA ha rilasciato un aggiornamento correttivo, secondo quanto dichiarato nell'advisory. La mancata accessibilità del portale ufficiale impedisce di verificare URL specifici della patch o istruzioni di applicazione.
La lettura: MLOps senza sandbox, un disallineamento di sicurezza
Il caso ZDI-26-429 illumina un disallineamento culturale. L'AI generativa ha ridefinito la velocità delle pipeline di sviluppo, ma non ha introdotto corrispondenti controlli di sicurezza sul perimetro dei dati di input — in questo caso, checkpoint di modelli trattati come blob passivi piuttosto che codice attivo. L'assenza di sandboxing nella fase di caricamento dei pesi, unita alla pressione per ridurre i tempi di sperimentazione, crea condizioni in cui un singolo file compromesso può propagarsi da un repository pubblico a un'intera flotta di nodi GPU.
Il requisito di interazione utente, pur mitigando la scalabilità dell'attacco, non lo neutralizza in ambienti dove l'apertura di checkpoint è operazione routinaria e automatizzata. La verifica proattiva degli artefatti ML — hash, firme, isolamento del processo di caricamento — resta pratica non standardizzata, e il dossier non indica che NVIDIA abbia introdotto meccanismi di questo tipo nella patch rilasciata.
FAQ
La vulnerabilità consente attacco completamente remoto senza azione della vittima?
No. L'advisory ZDI-26-429 specifica esplicitamente che l'interazione utente è richiesta: la vittima deve visitare una pagina malevola o aprire un file malevolo. Non si configura come exploit drive-by automatico.
Il CVE-2026-24157 coincide necessariamente con ZDI-26-429?
I record ZDI convergono su prodotto, classe di vulnerabilità e descrizione tecnica, ma non esiste cross-reference esplicita che confermi l'identità dei due identificatori. Il brief non autorizza a presentarli come certificatamente equivalenti.
Cosa non è documentato nel dossier?
Non emergono: versioni specifiche affette, formato di serializzazione vulnerabile, dettagli della patch, presenza di exploit in-the-wild, e contenuto del sito NVIDIA (inaccessibile per errore 403 al momento della verifica).
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-429/
- https://www.zerodayinitiative.com/advisories/published/
- https://nvidia.custhelp.com/app/answers/detail/a_id/5800
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.