Hace poco se dio a conocer información sobre un fallo (CVE-2025-10725) crítico en Red Hat OpenShift AI Service. Este fallo, que afecta directamente a los entornos utilizados para ejecutar y entrenar modelos de IA, permite que un usuario sin privilegios pueda obtener control administrativo total sobre un clúster, comprometiendo datos, modelos y aplicaciones en ejecución.

Clasificada con una severidad de 9.9 sobre 10, la vulnerabilidad abre la puerta a una escalada de privilegios completa: desde un acceso autenticado sin permisos especiales (por ejemplo, un investigador utilizando un Jupyter Notebook) hasta el dominio total del entorno, incluyendo acceso root a los nodos maestros. Este escenario no solo compromete la integridad de los sistemas, sino que plantea interrogantes urgentes sobre las prácticas de seguridad en el despliegue de infraestructuras de IA empresarial.

El origen del fallo: una asignación errónea en el control de acceso

Se menciona que el fallo CVE-2025-10725 reside en un error de configuración dentro del sistema de control de acceso basado en roles (RBAC) de Kubernetes. En concreto, el rol “kueue-batch-user-role” fue asignado por error al grupo “system:authenticated”, otorgando privilegios indebidos a cualquier usuario autenticado del sistema.

Esta falla permitía la creación de trabajos dentro de cualquier espacio de nombres, incluido el altamente privilegiado “openshift-apiserver-operator”, desde donde un atacante podía ejecutar tareas con permisos de ServiceAccount. Una vez dentro, era posible extraer tokens de acceso privilegiados, utilizarlos para escalar privilegios y, finalmente, alcanzar el control absoluto del clúster.

Más allá de la gravedad técnica, esta vulnerabilidad refleja cómo pequeños errores en configuraciones críticas pueden derivar en consecuencias catastróficas cuando se combinan con arquitecturas complejas de IA y Kubernetes. A diferencia de los exploits tradicionales a nivel de aplicación, CVE-2025-10725 aprovecha una debilidad estructural del sistema de orquestación, ampliando el alcance del riesgo a todo el ecosistema de IA empresarial.

Repercusiones

Para Red Hat y su matriz IBM, el incidente representa un desafío directo a su reputación como proveedor confiable de soluciones empresariales de código abierto. Compañías que dependen de OpenShift AI (desde bancos y hospitales hasta firmas tecnológicas) deben ahora aplicar parches de emergencia y revisar su infraestructura MLOps para garantizar la seguridad de sus operaciones.

También repercute en el panorama competitivo, ya que plataformas rivales como Google Cloud AI, Microsoft Azure Machine Learning y Amazon SageMaker podrían beneficiarse de la situación, siempre que demuestren niveles superiores de seguridad y cumplimiento. Por otro lado, las startups especializadas en seguridad de IA podrían ver un aumento en la demanda de servicios como auditorías RBAC, detección de configuraciones erróneas y seguridad automatizada para Kubernetes.

Implicaciones más amplias: el desafío de proteger la infraestructura de IA

CVE-2025-10725 refuerza una tendencia cada vez más evidente: la superposición entre ciberseguridad tradicional e infraestructura de inteligencia artificial. A medida que los modelos de IA se integran en entornos de producción, su superficie de ataque se amplía, abarcando desde la manipulación de datos hasta la explotación de vulnerabilidades en la infraestructura subyacente.

Un ataque exitoso contra un clúster de IA no solo puede comprometer datos confidenciales o propiedad intelectual, sino también alterar el comportamiento de los modelos, introducir sesgos o incluso interrumpir sistemas críticos. Este riesgo se vuelve especialmente preocupante en sectores como la defensa, la sanidad o las finanzas, donde la fiabilidad de los sistemas inteligentes resulta vital.

La vulnerabilidad de OpenShift AI marca un antes y un después, ya que los ataques ya no son meramente teóricos, sino exploits reales que aprovechan errores humanos y debilidades de configuración. Esto subraya la necesidad de adoptar enfoques de seguridad integrales que abarquen tanto la infraestructura como el ciclo completo de desarrollo de la inteligencia artificial.

La respuesta inmediata de Red Hat y la comunidad tecnológica será decisiva para restaurar la confianza. Se espera que futuras versiones de OpenShift AI integren configuraciones de RBAC más seguras por defecto, herramientas de detección automatizada de errores de configuración y mejores mecanismos de aislamiento entre servicios.

A largo plazo, esta vulnerabilidad impulsará el principio de “seguridad por diseño” dentro del ciclo de vida del desarrollo de IA. Desde la ingestión de datos hasta la implementación de modelos, la seguridad deberá ser una prioridad constante.

Interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.