近期,安全领域迎来了一则重大警报,英伟达旗下的Triton推理服务器被发现潜藏着一系列高危漏洞,这一发现由知名安全研究机构Wiz Research率先公布。
据Wiz Research披露,这组漏洞若被联合利用,将允许远程攻击者执行任意代码(RCE),进而在不被察觉的情况下读取或篡改共享内存数据,控制AI模型的输出结果,甚至对整个推理后端进行全面操控。
这一系列漏洞可能引发的连锁反应不容小觑,包括珍贵的AI模型被盗、敏感数据外泄、AI响应被恶意篡改,乃至整个系统陷入攻击者的掌控之中。
面对这一严峻挑战,英伟达迅速响应,发布了针对这些漏洞的补丁。然而,值得注意的是,所有在25.07版本之前的Triton Inference Server系统均处于易受攻击的状态,用户需立即升级至最新版本以确保安全。
那么,这组漏洞链的具体危害究竟有多大呢?Wiz Research指出,未经授权的远程攻击者一旦利用这些漏洞,将能完全控制Triton推理服务器,进而触发一系列严重后果。
首先,攻击者可以精确定位共享内存区域,轻松窃取昂贵且专用的AI模型,造成模型失窃。其次,通过控制模型运行时的内存,攻击者能实时捕获模型的输入输出数据,导致数据泄露,涉及用户隐私、财务信息等敏感内容。
更为严重的是,攻击者不仅能读取数据,还能进行写入操作,即操纵AI模型的输出,使其产生误导性、带有偏见或恶意的回应,从而实现响应操纵。最后,攻击者还可能利用已攻破的服务器作为跳板,进一步渗透至组织内部的其他系统,导致系统全面失控。
这一系列漏洞链由三个关键环节构成:CVE-2025-23320、CVE-2025-23319和CVE-2025-23334。其中,CVE-2025-23320漏洞允许攻击者通过发送超大请求触发异常,从而泄露后端内部IPC共享内存区的唯一标识符。掌握了这一标识符后,攻击者便能利用CVE-2025-23319和CVE-2025-23334漏洞,对共享内存区域进行越界读写操作。
具体而言,攻击者通过滥用共享内存API,能够无限制地访问和修改后端内部的内存数据结构,进而干扰服务器的正常运行,实现对服务器的全面控制。可能的攻击手段包括破坏后端共享内存中的数据结构、伪造和操控IPC消息队列中的消息等。
值得注意的是,尽管这次漏洞主要集中在Triton的Python后端,但该后端并非仅服务于Python框架的模型。作为一个通用的推理平台,Triton旨在简化AI模型在不同框架上的部署和运行,因此其Python后端也被广泛用于处理各种框架的推理请求。
Triton的Python后端核心逻辑由C++实现,通过与单独的“stub”进程通信来加载和执行模型代码。为了实现高速数据交换,该后端采用了基于命名共享内存的复杂进程间通信机制。然而,这一设计也带来了安全隐患:一旦共享内存名称泄露,就可能被攻击者利用。
正因为Triton平台的通用性和灵活性,使得其安全命门更加脆弱。幸运的是,尽管这组漏洞链的潜在危害巨大,但目前尚未发现被用于实际攻击的案例。英伟达在接到Wiz Research的报告后,迅速修复了漏洞并发布了更新版本。
