Olhar Digital > Segurança e Privacidade > ShadowMQ: falha silenciosa que expôs vulnerabilidades na infraestrutura de IA

ShadowMQ: falha silenciosa que expôs vulnerabilidades na infraestrutura de IA

ShadowMQ expõe como a reutilização de código pode espalhar falhas críticas em servidores de IA usados por empresas e universidades
Por Valdir Antonelli, editado por Layse Ventura 19/11/2025 20h35
infraestrutura-ia-shutterstock_2537412323-1920x802
Imagem: NicoElNino/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

O ecossistema de IA acaba de ganhar um novo vilão: o ShadowMQ. A vulnerabilidade se espalhou de forma discreta entre projetos bastante conhecidos, atingindo frameworks usados por empresas como Meta, Nvidia, Microsoft e outras gigantes do setor.

A descoberta, feita pela equipe da Oligo Security, expôs como a simples prática de reaproveitar trechos de código (algo comum e até incentivado) pode abrir brechas sérias na infraestrutura que sustenta grande parte das aplicações modernas de IA.

Falha ShadowMQ atinge grandes frameworks e expõe dados sensíveis e operações em servidores de IA corporativos.
Falha ShadowMQ atinge grandes frameworks e expõe dados sensíveis e operações em servidores de IA corporativos. Imagem: Song_about_summer/Shutterstock

Uma descoberta que revelou um padrão maior

O caso veio à tona em 2024, quando pesquisadores analisavam o LlaMa Stack, da Meta, e encontraram um uso problemático do método recv_pyobj() do ZeroMQ (ZMQ). Ele abre mensagens usando pickle, um sistema capaz de executar código automaticamente ao ler certos dados.

Em um servidor acessível pela internet, isso vira um risco evidente: uma mensagem mal-intencionada pode ser interpretada como um comando legítimo – e o sistema simplesmente o executa.

A Meta corrigiu o problema rapidamente, trocando pickle por JSON. Mas o que chamou atenção depois foi algo mais preocupante: outros frameworks traziam exatamente o mesmo trecho vulnerável, copiado quase ao pé da letra.

Assim surgiu o nome ShadowMQ – uma falha que se espalha sem que ninguém perceba, apenas porque um projeto herda o código do outro.

Por que isso virou um problema em cadeia

A mesma falha apareceu em frameworks amplamente usados em empresas e universidades. No SGLang, por exemplo, o próprio arquivo mencionava que havia sido adaptado do vLLM, trazendo junto toda a lógica insegura.

Esses sistemas costumam rodar em servidores potentes, com várias GPUs e informações sensíveis. Isso torna o cenário ainda mais crítico: uma vulnerabilidade desse tipo pode permitir ataques graves, como execução remota de código (RCE), em que o invasor envia um comando e o servidor age como se fosse algo legítimo.

Para demonstrar que o risco não era teórico, a Oligo gravou ataques reais funcionando em ferramentas como Nvidia TensorRT-LLM e Modular Max.

O uso inseguro de pickle no Llama Stack permitiu que mensagens maliciosas executem comandos no servidor.
O uso inseguro de pickle no Llama Stack permitiu que mensagens maliciosas executem comandos no servidor. Imagem: Fajri Mulia Hidayat/Shutterstock

O que poderia acontecer se a falha fosse explorada

Segundo os pesquisadores, um invasor poderia:

  • executar comandos diretamente no servidor de IA;
  • acessar outros sistemas internos conectados a ele;
  • vazar informações sensíveis;
  • instalar programas maliciosos, como mineradores de criptomoedas;
  • comprometer clusters inteiros usados em produção.

O alerta fica ainda mais forte porque milhares de sockets ZMQ estão expostos na internet pública – alguns justamente em servidores voltados à execução de modelos de IA.

As correções já feitas

Após os relatórios, vários projetos liberaram atualizações:

  • Meta Llama Stack (out/2024) – remoção do pickle e adoção de JSON.
  • vLLM (mai/2025) – substituição do mecanismo vulnerável por outro seguro.
  • NVIDIA TensorRT-LLM (mai/2025) – implementação de autenticação HMAC.
  • Modular Max Server (jun/2025) – migração para msgpack.

Mas nem todos avançaram da mesma forma.

O Sarathi-Serve, da Microsoft, segue vulnerável.
O SGLang aplicou correções parciais, o que deixa parte do risco ativo.

Esses casos foram classificados como “vulnerabilidades ocultas”: falhas que já são conhecidas, mas continuam prontas para serem exploradas.

O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início.
O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início. Imagem: BOY ANTHONY/Shutterstock

Como reduzir riscos daqui pra frente

Para evitar novas falhas como o ShadowMQ, especialistas orientam instalar as versões corrigidas dos frameworks e abandonar soluções que reconstruam dados automaticamente a partir de fontes externas, como pickle ou recv_pyobj().

Também recomendam adicionar autenticação às conexões ZeroMQ, limitar sockets para uso interno e reforçar o treinamento das equipes para reconhecer riscos na manipulação de dados recebidos pela rede.

Leia mais:

O caso ShadowMQ mostra como copiar código sem revisão pode disseminar vulnerabilidades em diferentes projetos de IA. O episódio reforça que segurança não pode ser tratada como detalhe: ela precisa fazer parte do desenvolvimento desde o início.

Valdir Antonelli
Colaboração para o Olhar Digital
Valdir Antonelli no LinkedIn

Valdir Antonelli é jornalista com especialização em marketing digital e consumo.

Layse Ventura
Editor(a) SEO
Layse Ventura no LinkedIn

Layse Ventura é jornalista (Uerj), mestre em Engenharia e Gestão do Conhecimento (Ufsc) e pós-graduada em BI (Conquer). Acumula quase 20 anos de experiência como repórter, copywriter e SEO.

Ícone tagsTags: