CVE-2026-33626: Como atacantes exploraram motores de inferência LLM do LMDeploy em 12 horas

Uma vulnerabilidade SSRF crítica no LMDeploy, um toolkit de serviço de modelos de IA com 7.798 estrelas no GitHub, foi explorada apenas 12 horas e 31 minutos após sua divulgação pública. Atacantes utilizaram o carregador de imagem de visão-linguagem para realizar port-scan em serviços de metadados da AWS, Redis, MySQL e outros alvos internos em uma sessão de oito minutos. A rápida exploração ocorreu sem nenhum código de prova de conceito público, destacando como avisos de segurança detalhados agora servem como blueprints para exploits na era da codificação assistida por IA. Isso é particularmente irônico, visto que a vulnerabilidade mirou um framework de serviço de LLM.