IA en PLS : Meta, Nvidia et Microsoft copient des failles critiques – vos GPU piratés ?

En bref

---

• 💣 Une faille critique copiée entre Meta, Nvidia et Microsoft expose tes modèles IA, tes données et tes clusters GPU aux pirates.
• 🤡 Microsoft, champion de la sécurité ? Leur framework Sarathi-Serve est toujours vulnérable. Même pas honte.
• 💸 « L’IA sécurisée » ? Plus comme une passoire à crypto, ouais.

Tu pensais que ton modèle d’IA était en sécurité ? Laisse-moi te spoiler : Meta, Nvidia et Microsoft viennent de prouver qu’ils codent comme des ados en 2005. Résultat ? Des failles critiques copiées-collées entre leurs frameworks, des milliers de serveurs exposés, et tes GPU qui minent pour des inconnus. Bienvenue dans l’ère du « ShadowMQ », où l’IA se protège comme un château de cartes.

📜 L’IA, c’est comme une chaîne de fast-food : tout le monde utilise les mêmes ingrédients pourris

---

Le schéma « ShadowMQ », c’est quoi ? ZeroMQ + Pickle = cocktail explosif.

• Pickle, c’est comme donner les clés de ta voiture à un inconnu. Sauf que là, c’est ta voiture… et elle contient ton portefeuille crypto.
• ZeroMQ, c’est le « trou noir » des sockets réseau. Personne ne vérifie, tout le monde l’utilise. Et hop, une faille RCE (Remote Code Execution) gratuite.

La propagation de la faille ? Magique. Llama (Meta) → vLLM → SGLang → Modular Max. Comme une MST du code. Les preuves ? GitHub ne ment pas. Des fichiers de code copiés ligne par ligne. Mdrrr, c’était la baaase.

Les CVE en cascade :

• Nvidia (8.8), « Presque aussi dangereux qu’un 0-day ».
• vLLM (8.0), corrigé… en partie.
• Microsoft et SGLang ? « Ils font semblant. »

🕵️ Pourquoi personne n’a rien vu ? Parce que l’IA, c’est du vent… et de la dette technique

---

L’historique ignoré :

• Pickle, c’est 20 ans de vulnérabilités connues. Comme utiliser Windows XP en 2025.
• ZeroMQ, c’est le « trou noir » des sockets réseau. « Personne ne vérifie, tout le monde l’utilise. »

La course à l’IA > la sécurité :

• « Corriger ? Trop long. Copier le code du voisin ? Instantané. »
• Exemple : vLLM → SGLang → « Comme si un restaurant 3 étoiles recyclait les restes du McDo. »

La réponse des géants :

• Meta : « On a corrigé ! » (en octobre, après la propagation).
• Nvidia : « Score CVSS 8.8, mais c’est bon, on a patché… en 2025. »
• Microsoft : « Sarathi-Serve ? Ah oui… on y travaille. Peut-être. » → « Traduction : ‘On s’en fout.’ »

💥 Et maintenant ? Tes GPU minent pour les pirates, et tes modèles fuient sur Telegram

---

L’impact réel :

• Vol de modèles propriétaires : « Ton IA trained à 10M$ ? En vente pour 50k$ sur un forum. »
• Minage de crypto : « Tes GPU Nvidia ? Maintenant ils bossent pour un Russe. »
• Pivoting dans les clusters : « Un seul serveur compromis = tout le datacenter en PLS. »

Preuves ? Oligo a scanné des milliers de sockets ZeroMQ exposés. « Comme laisser sa porte d’entrée ouverte avec un panneau ‘Bienvenue aux voleurs’. »

Ce que ça change pour toi :

• « Si tu utilises vLLM, SGLang ou Sarathi-Serve… pries. »
• « Si tu es un client cloud (Azure, AWS) avec des inférences IA… vérifie tes factures GPU. »

Ouverture :

• « L’IA, c’est comme le nucléaire : tout le monde veut en avoir, personne ne veut gérer les déchets. Sauf que là, les déchets, c’est ton code source et tes données. »

🚀 Conclusion

---

« L’IA, c’est la nouvelle ruée vers l’or… sauf que les mineurs, cette fois, ce sont les pirates. Meta, Nvidia et Microsoft ont construit leurs frameworks comme des Lego : en empruntant les pièces des voisins sans vérifier si elles étaient pourries. Résultat ? Une faille systémique qui transforme tes serveurs en passoires. La prochaine fois qu’on te vend de l’IA ‘sécurisée’, demande leur politique de copier-coller. Spoiler : elle est aussi solide que du papier toilette mouillé. »

Source : Rapport Oligo Security, The Hacker News, NVD