LeRobot 不安全反序列化远程代码执行漏洞 (gRPC) 漏洞概述 LeRobot 的异步推理管道中存在不安全的反序列化漏洞。其中 被用于反序列化通过未加密(无 TLS)的 gRPC 通道接收的数据。未授权的网络可达攻击者可以通过发送特制的 pickle 载荷(通过 、 或 gRPC 调用),在服务器或客户端上实现任意代码执行。 影响范围 受影响组件:策略服务器 (policy server) 和机器人客户端 (robot client) 组件。 受影响版本:LeRobot CVSS 向量: 严重性:CRITICAL (危急) 修复方案 官方已发布修复版本,计划针对 v0.6.0 版本进行修复。 参考链接 披露来源:Chocapikk Disclosure & PoC 初始报告:2026-25874 提议的 Pull Request:Chocapikk/leRobot#1 v0.6.0 路线图:Chocapikk/leRobot#2 利用代码 (POC)