TensorBoard 未授权访问漏洞
- [1. 漏洞原理](#1. 漏洞原理)
- [2. 漏洞危害](#2. 漏洞危害)
- [3. 漏洞修复](#3. 漏洞修复)
1. 漏洞原理
TensorBoard 是 TensorFlow / PyTorch 生态中用于:可视化训练过程、展示 loss / accuracy 曲线、查看模型计算图、展示超参数、embedding、文本、图片等,默认通过一个 HTTP Web 服务 提供 UI
TensorBoard 默认不支持用户认证:其没有账号系统、没有 token 校验、没有访问控制列表(ACL),安全依赖于 网络隔离,而不是应用自身
2. 漏洞危害
一般通过此未授权泄漏的信息如下:
- 实验名称
- 训练曲线
- 模型结构
- 训练轮次 & 时间线
- 项目路径
- 用户名
- 代码结构
- 训练数据泄露
单独 TensorBoard 通常不直接 RCE
3. 漏洞修复
增加认证,如 Nginx 反向代理 + Basic Auth 或添加网络隔离策略