研究人员发现严重 AI 漏洞，Meta、英伟达及微软推理框架面临风险

网络安全研究人员发现，主流人工智能（AI）推理引擎存在重大远程代码执行漏洞，受影响的厂商包括 Meta、英伟达（Nvidia）、微软（Microsoft），以及 vLLM、SGLang 等开源 PyTorch 项目。

"这些漏洞都源于同一个根本原因：ZeroMQ（ZMQ）和 Python pickle 反序列化功能的不安全使用被忽视" 奥里戈安全（Oligo Security）研究人员阿维・卢梅尔斯基（Avi Lumelsky）在周四发布的报告中表示。

这一问题的核心在于一种被称为 "ShadowMQ" 的模式 --- 由于代码复用，不安全的反序列化逻辑已扩散到多个项目中。其根源是 Meta 的 Llama 大语言模型（LLM）框架存在漏洞（CVE-2024-50050，CVSS 评分：6.3/9.3），该漏洞已于去年 10 月由 Meta 修复。具体而言，该漏洞与 ZeroMQ 的 recv_pyobj () 方法有关，该方法会使用 Python 的 pickle 模块对传入数据进行反序列化。

加之该框架通过网络暴露了 ZeroMQ 套接字，这使得攻击者能够通过发送恶意数据触发反序列化，进而执行任意代码。目前，Python 的 pyzmq 库也已修复了这一问题。

01 漏洞跨项目扩散，多家厂商受波及

此后，奥里戈安全发现同一漏洞模式出现在其他推理框架中，包括英伟达 TensorRT-LLM、微软 Sarathi-Serve、Modular Max Server、vLLM 以及 SGLang。

卢梅尔斯基指出："这些框架都包含几乎完全相同的不安全模式：在未经验证的 ZMQ TCP 套接字上使用 pickle 反序列化。不同公司维护的项目、不同的开发者 ------ 全都犯了同样的错误。"

追溯问题根源时，研究团队发现，至少在部分案例中，漏洞是代码直接复制粘贴导致的。例如，SGLang 中的漏洞文件标注 "改编自 vLLM"，而 Modular Max Server 则从 vLLM 和 SGLang 两处借鉴了相同逻辑，最终导致漏洞在多个代码库中蔓延。

02 漏洞详情及修复进展

目前，相关漏洞已分配以下标识编号，修复情况各异：

• CVE-2025-30165（CVSS 评分：8.0）------ vLLM：暂未完全修复，但已默认切换至 V1 引擎以缓解风险

• CVE-2025-23254（CVSS 评分：8.8）------ 英伟达 TensorRT-LLM：已在 0.18.2 版本中修复

• CVE-2025-60455（CVSS 评分：未公布）------ Modular Max Server：已修复

• 微软 Sarathi-Serve：仍未修复

• SGLang：已实施修复，但修复不完整

03 漏洞危害：AI 基础设施安全面临多重威胁

推理引擎是 AI 基础设施的关键组成部分，一旦单个节点被成功入侵，攻击者可能实现以下危害：

• 在整个集群中执行任意代码

• 提升权限，获取更高系统控制权

• 窃取 AI 模型等核心知识产权

• 植入加密货币挖矿程序等恶意载荷，谋取经济利益

卢梅尔斯基强调："当前 AI 项目开发速度极快，从同行项目中借鉴架构组件是常见做法。但当代码复用包含不安全模式时，风险会迅速向外扩散。"

04 同期风险：Cursor 编辑器现安全漏洞

就在该漏洞披露之际，AI 安全平台 Knostic 发布的新报告显示，代码编辑器 Cursor 的内置浏览器存在安全隐患 ------ 攻击者可通过 JavaScript 注入技术入侵，甚至利用恶意扩展程序实现 JavaScript 注入，进而控制开发者的工作站。

第一种攻击方式是注册恶意本地模型上下文协议（MCP）服务器，绕过 Cursor 的安全控制，将浏览器内的登录页面替换为钓鱼页面，窃取用户凭证并发送至攻击者控制的远程服务器。

安全研究员多尔・穆尼斯（Dor Munis）解释："一旦用户下载并运行该 MCP 服务器，借助 Cursor 中的 mcp.json 文件，恶意代码就会注入 Cursor 浏览器，诱导用户访问钓鱼登录页，最终窃取凭证并发送至远程服务器。"

由于 Cursor 本质上是 Visual Studio Code 的衍生版本，攻击者还可制作恶意扩展程序，向运行中的 IDE 注入 JavaScript 代码，执行任意操作 ------ 例如将安全的 Open VSX 扩展程序标记为 "恶意程序"。

该公司指出："无论 JavaScript 代码是通过扩展程序、MCP 服务器，还是被篡改的提示词或规则注入，只要在 Node.js 解释器中运行，就会立即获得 IDE 的全部权限：完全访问文件系统、修改或替换 IDE 功能（包括已安装的扩展程序）、植入可在 IDE 重启后继续运行的恶意代码。"

"一旦获得解释器级别的执行权限，攻击者就能将 IDE 变成恶意软件分发和数据窃取平台。"

05 安全建议：多维度防范风险

为应对上述安全威胁，建议用户采取以下措施：

• 禁用 IDE 中的 "自动运行"（Auto-Run）功能

• 严格审核第三方扩展程序，仅安装来源可信的工具

• 从官方或可信开发者及仓库获取 MCP 服务器，避免使用未知来源程序

• 核查 MCP 服务器访问的数据和 API 权限，避免过度授权

• 为 API 密钥配置最小必要权限，降低泄露后的风险

• 对于关键业务场景，审计 MCP 服务器的源代码，排查安全隐患