Ciberatacantes accedieron a LMDeploy en solo 12 horas tras publicarse el CVE
Delincuentes leen informe recién publicado y enseguida atacan a un servicio popular
Las vulnerabilidades en herramientas para trabajar con inteligencia artificial empiezan a regirse por nuevas reglas: entre la publicación de un problema y el ataque real pasan horas. Un ejemplo reciente mostró lo rápido que se adaptan los atacantes: en esta ocasión el blanco fue una herramienta popular para ejecutar modelos.
El equipo de Sysdig registró intento de explotación de la vulnerabilidad CVE-2026-33626 en LMDeploy apenas 12 horas después de la publicación de la advertencia en GitHub. Se trata de una vulnerabilidad SSRF que permite al servidor realizar solicitudes HTTP a direcciones proporcionadas por el usuario sin la comprobación adecuada.
LMDeploy es una plataforma para ejecutar modelos de lenguaje y multimodales, desarrollada por Shanghai AI Laboratory. Soporta el procesamiento de imágenes mediante el parámetro image_url. Ese mecanismo se convirtió en el punto de entrada: el servidor cargaba cualquier URL indicada, incluidas direcciones internas.
Los especialistas desplegaron una trampa con una versión vulnerable de LMDeploy y pronto observaron actividad. En una sesión de ocho minutos el atacante no solo verificó la vulnerabilidad, sino que la convirtió en una herramienta de reconocimiento. A través del manejador de imágenes comenzó a escanear la red interna del servidor, accediendo a servicios como Redis, MySQL y a interfaces HTTP administrativas. También se detectó un intento de acceso al servicio AWS Instance Metadata Service, lo que puede provocar la filtración de credenciales de la nube.
El ataque se realizó en varias fases. Primero el atacante comprobó la posibilidad de conexiones externas mediante una consulta DNS a un servicio especial. Luego examinó la API del servidor, incluida la documentación automática. A continuación intentó interferir en las funciones de control de LMDeploy y finalizó la sesión con un escaneo de puertos locales.
Lo particular del caso es que en el momento del ataque no existían herramientas de explotación listas. Bastó la información del propio aviso —en el que se indicaban explícitamente el archivo problemático y los parámetros sin comprobación—. Ese nivel de detalle permite ensamblar rápidamente un escenario de ataque funcional incluso sin código público.
Según las observaciones de los especialistas, los atacantes ya no esperan a que aparezcan herramientas listas: usan las descripciones de los problemas como una instrucción. Además, la IA generativa acelera el proceso, ya que puede generar código de ataque a partir del texto del aviso.
En el caso de LMDeploy, los riesgos van más allá del SSRF clásico. La vulnerabilidad abre el acceso a los metadatos en la nube, a bases de datos internas y a componentes de control. Además, el atacante puede interrumpir el funcionamiento de los modelos desconectando nodos individuales del sistema.
Los desarrolladores ya publicaron una versión corregida, pero la situación subraya otro problema: los ciclos tradicionales de actualizaciones y pruebas de seguridad no siguen el ritmo de los ataques. Cuando la cuenta se mide en horas, la protección debe basarse en limitar las conexiones de red, controlar el tráfico saliente y en una respuesta operativa rápida.