Netcrook Logo
👤 CIPHERWARDEN
🗓️ 08 Nov 2025   🗂️ Threats    

Keras nel mirino: lo strumento preferito dell’IA espone le chiavi del regno

Una nuova vulnerabilità scoperta nella libreria di deep learning Keras ha permesso agli aggressori di superare le barriere di sicurezza, rischiando l’esposizione di file sensibili e aprendo la strada a takeover nel cloud.

In breve

  • La vulnerabilità CVE-2025-12058 consentiva agli aggressori di leggere file locali o innescare richieste lato server in Keras.
  • Keras è uno strumento open-source molto popolare per costruire modelli di IA in Python, utilizzato con TensorFlow, PyTorch e JAX.
  • Gli aggressori potevano rubare dati sensibili come chiavi SSH e credenziali cloud inducendo gli utenti a caricare modelli malevoli.
  • Il difetto è stato corretto nella versione 3.11.4 di Keras limitando il modo in cui vengono caricati i file di vocabolario.
  • Safe_mode, pensato per prevenire tali attacchi, è stato aggirato da questa vulnerabilità.

Un modello trojan: come funzionava la falla

Immagina un pacco apparentemente innocuo lasciato davanti alla porta del tuo ufficio, ma che all’interno nasconde uno strumento in grado di aprire tutte le porte dell’edificio. Questo era il rischio affrontato dagli utenti di Keras, una libreria di deep learning ampiamente considerata affidabile. Al centro del problema c’era il modo in cui Keras gestiva i “vocabolari” - le liste di parole o elementi che i modelli di IA usano per comprendere il mondo. Gli aggressori hanno scoperto che potevano nascondere istruzioni pericolose all’interno di questi vocabolari. Quando un utente ignaro caricava un modello di IA manomesso, Keras leggeva docilmente file o indirizzi web specificati dall’attaccante - senza fare domande, anche se la funzione di sicurezza “safe_mode” era attivata.

Dalla data science al furto di dati

Keras è un pilastro dell’ecosistema IA, alimentando tutto, dai prototipi di ricerca alle applicazioni commerciali. La sua flessibilità - che supporta giganti del settore come TensorFlow e PyTorch - lo rendeva un ambiente ricco di potenziali bersagli. La vulnerabilità (CVE-2025-12058, CVSS 5.9) permetteva agli aggressori di caricare modelli avvelenati su repository pubblici. Se un data scientist scaricava e caricava uno di questi modelli, Keras poteva essere ingannato nel leggere file sensibili come chiavi private SSH. L’attaccante poteva quindi estrarre questi segreti, ottenendo accesso a server, repository di codice o persino infrastrutture cloud. In alcuni casi, caricare un modello malevolo su un server cloud poteva permettere a un attaccante di sottrarre credenziali cloud, ottenendo così le chiavi del regno digitale di un’organizzazione.

Questo tipo di attacco non è solo teorico. Nel 2022, la comunità PyTorch ha affrontato una minaccia alla supply chain quando degli aggressori hanno caricato una dipendenza malevola che raccoglieva credenziali. La falla di Keras si inserisce in una tendenza preoccupante: man mano che IA e machine learning diventano sempre più plug-and-play, gli aggressori sfruttano la fiducia nei modelli e negli strumenti preconfezionati. La società di cybersecurity Zscaler, che ha scoperto il problema in Keras, ha avvertito che gli attaccanti potrebbero passare dal furto di segreti al lancio di attacchi ulteriori - clonando codice privato, inserendo backdoor o persino eseguendo codice in produzione.

Chiudere le falle - e le lezioni apprese

Gli sviluppatori si sono mossi rapidamente: la versione 3.11.4 di Keras ora incorpora i file di vocabolario direttamente nell’archivio del modello e blocca il caricamento di file arbitrari quando safe_mode è attivo. La correzione chiude la porta sul retro, ma l’episodio è un campanello d’allarme. Nella corsa a costruire IA più intelligenti e veloci, spesso si trascura la sicurezza degli strumenti stessi. Man mano che i modelli di machine learning diventano veri e propri carichi digitali, le organizzazioni devono trattare ogni download - ogni modello - come un potenziale cavallo di Troia. La corsa all’oro dell’IA è iniziata, ma è altrettanto urgente la corsa a metterne in sicurezza le fondamenta.

L’incidente di Keras è un chiaro promemoria: nel mondo dell’IA, la fiducia non è mai scontata. Anche gli strumenti più affidabili possono diventare complici inconsapevoli se la sicurezza non viene integrata fin dall’inizio.

WIKICROOK

  • Keras: Keras è una libreria open-source che semplifica la creazione e l’addestramento di modelli di IA in Python, offrendo un’interfaccia facile da usare per le reti neurali.
  • Deserializzazione: La deserializzazione converte i dati in oggetti utilizzabili da un programma. Se non viene eseguita in modo sicuro, può permettere agli aggressori di iniettare istruzioni dannose nelle applicazioni.
  • Server: Un server è un computer o un software che fornisce dati, risorse o servizi ad altri computer, chiamati client, attraverso una rete.
  • Chiave SSH: Una chiave SSH è una credenziale digitale che consente l’accesso sicuro e senza password a server remoti. Se compromessa, può permettere accessi non autorizzati al sistema.
  • Safe_mode: Safe_mode è una funzione di sicurezza che blocca operazioni rischiose durante il caricamento di modelli o codice, ma può essere aggirata se esistono vulnerabilità.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news