研究人员发现严重 AI 漏洞,Meta、英伟达及微软推理框架面临风险

星尘安全2025-11-22 9:42

网络安全研究人员发现,主流人工智能(AI)推理引擎存在重大远程代码执行漏洞,受影响的厂商包括 Meta、英伟达(Nvidia)、微软(Microsoft),以及 vLLM、SGLang 等开源 PyTorch 项目。

"这些漏洞都源于同一个根本原因:ZeroMQ(ZMQ)和 Python pickle 反序列化功能的不安全使用被忽视" 奥里戈安全(Oligo Security)研究人员阿维・卢梅尔斯基(Avi Lumelsky)在周四发布的报告中表示。

这一问题的核心在于一种被称为 "ShadowMQ" 的模式 --- 由于代码复用,不安全的反序列化逻辑已扩散到多个项目中。其根源是 Meta 的 Llama 大语言模型(LLM)框架存在漏洞(CVE-2024-50050,CVSS 评分:6.3/9.3),该漏洞已于去年 10 月由 Meta 修复。具体而言,该漏洞与 ZeroMQ 的 recv_pyobj () 方法有关,该方法会使用 Python 的 pickle 模块对传入数据进行反序列化。

加之该框架通过网络暴露了 ZeroMQ 套接字,这使得攻击者能够通过发送恶意数据触发反序列化,进而执行任意代码。目前,Python 的 pyzmq 库也已修复了这一问题。

01 漏洞跨项目扩散,多家厂商受波及

此后,奥里戈安全发现同一漏洞模式出现在其他推理框架中,包括英伟达 TensorRT-LLM、微软 Sarathi-Serve、Modular Max Server、vLLM 以及 SGLang。

卢梅尔斯基指出:"这些框架都包含几乎完全相同的不安全模式:在未经验证的 ZMQ TCP 套接字上使用 pickle 反序列化。不同公司维护的项目、不同的开发者 ------ 全都犯了同样的错误。"

追溯问题根源时,研究团队发现,至少在部分案例中,漏洞是代码直接复制粘贴导致的。例如,SGLang 中的漏洞文件标注 "改编自 vLLM",而 Modular Max Server 则从 vLLM 和 SGLang 两处借鉴了相同逻辑,最终导致漏洞在多个代码库中蔓延。

02 漏洞详情及修复进展

目前,相关漏洞已分配以下标识编号,修复情况各异:

  • CVE-2025-30165(CVSS 评分:8.0)------ vLLM:暂未完全修复,但已默认切换至 V1 引擎以缓解风险

  • CVE-2025-23254(CVSS 评分:8.8)------ 英伟达 TensorRT-LLM:已在 0.18.2 版本中修复

  • CVE-2025-60455(CVSS 评分:未公布)------ Modular Max Server:已修复

  • 微软 Sarathi-Serve:仍未修复

  • SGLang:已实施修复,但修复不完整

03 漏洞危害:AI 基础设施安全面临多重威胁

推理引擎是 AI 基础设施的关键组成部分,一旦单个节点被成功入侵,攻击者可能实现以下危害:

  • 在整个集群中执行任意代码

  • 提升权限,获取更高系统控制权

  • 窃取 AI 模型等核心知识产权

  • 植入加密货币挖矿程序等恶意载荷,谋取经济利益

卢梅尔斯基强调:"当前 AI 项目开发速度极快,从同行项目中借鉴架构组件是常见做法。但当代码复用包含不安全模式时,风险会迅速向外扩散。"

04 同期风险:Cursor 编辑器现安全漏洞

就在该漏洞披露之际,AI 安全平台 Knostic 发布的新报告显示,代码编辑器 Cursor 的内置浏览器存在安全隐患 ------ 攻击者可通过 JavaScript 注入技术入侵,甚至利用恶意扩展程序实现 JavaScript 注入,进而控制开发者的工作站。

第一种攻击方式是注册恶意本地模型上下文协议(MCP)服务器,绕过 Cursor 的安全控制,将浏览器内的登录页面替换为钓鱼页面,窃取用户凭证并发送至攻击者控制的远程服务器。

安全研究员多尔・穆尼斯(Dor Munis)解释:"一旦用户下载并运行该 MCP 服务器,借助 Cursor 中的 mcp.json 文件,恶意代码就会注入 Cursor 浏览器,诱导用户访问钓鱼登录页,最终窃取凭证并发送至远程服务器。"

由于 Cursor 本质上是 Visual Studio Code 的衍生版本,攻击者还可制作恶意扩展程序,向运行中的 IDE 注入 JavaScript 代码,执行任意操作 ------ 例如将安全的 Open VSX 扩展程序标记为 "恶意程序"。

该公司指出:"无论 JavaScript 代码是通过扩展程序、MCP 服务器,还是被篡改的提示词或规则注入,只要在 Node.js 解释器中运行,就会立即获得 IDE 的全部权限:完全访问文件系统、修改或替换 IDE 功能(包括已安装的扩展程序)、植入可在 IDE 重启后继续运行的恶意代码。"

"一旦获得解释器级别的执行权限,攻击者就能将 IDE 变成恶意软件分发和数据窃取平台。"

05 安全建议:多维度防范风险

为应对上述安全威胁,建议用户采取以下措施:

  • 禁用 IDE 中的 "自动运行"(Auto-Run)功能

  • 严格审核第三方扩展程序,仅安装来源可信的工具

  • 从官方或可信开发者及仓库获取 MCP 服务器,避免使用未知来源程序

  • 核查 MCP 服务器访问的数据和 API 权限,避免过度授权

  • 为 API 密钥配置最小必要权限,降低泄露后的风险

  • 对于关键业务场景,审计 MCP 服务器的源代码,排查安全隐患

相关推荐
java_logo4 分钟前
Onlyoffice Documentserver Docker 容器化部署指南
运维·人工智能·docker·容器·onlyoffice·milvus·documentserver
数据猿6 分钟前
【金猿人物展】涛思数据创始人、CEO陶建辉:实现AI时代时序数据库向“数据平台”的转型
大数据·数据库·人工智能·时序数据库·涛思数据
TMT星球7 分钟前
京东健康联合京东金榜发布2025年度三大品类金榜
人工智能
oak隔壁找我11 分钟前
Spring AI Alibaba + Crawl4ai + Docker 搭建一个具有联网搜索能力的Agent
人工智能
海边夕阳200624 分钟前
【每天一个AI小知识】:什么是大语言模型(LLM)?
人工智能·深度学习·神经网络·机器学习·语言模型·自然语言处理·llm
算力魔方AIPC24 分钟前
破解“竖排文本”魔咒:在 RTX 3060 上微调 PaddleOCR-VL 以识别日本漫画
人工智能
小白勇闯网安圈32 分钟前
Training-WWW-Robots、command_execution、baby_web、xff_referer
网络安全·web
袖手蹲35 分钟前
Arduino UNO Q 从 Arduino Cloud 远程控制闪烁 LED
人工智能·单片机·嵌入式硬件·电脑
doris61039 分钟前
设备点检、保养、维修一站式解决方案
大数据·数据库·人工智能
北京耐用通信40 分钟前
终结混合网络调试噩梦:耐达讯自动化实现EtherCAT对DeviceNet设备的直接读写
网络·人工智能·物联网·网络协议·自动化·信息与通信
热门推荐
01GitHub 镜像站点02【AutoGLM部署】本地私有化部署AI手机Agent03UV安装并设置国内源04【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)05Open-AutoGLM Windows 安装部署教程06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08Linux下V2Ray安装配置指南09BongoCat - 跨平台键盘猫动画工具10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)