在網(wǎng)絡(luò)安全領(lǐng)域，自己人先發(fā)現(xiàn)漏洞往往能讓人更安心。近期，英偉達Triton推理服務(wù)器就被安全研究機構(gòu)Wiz Research曝光了一組高危漏洞鏈。

正所謂一波未平，一波又起。此次曝光的這組漏洞可被組合利用，實現(xiàn)遠程代碼執(zhí)行（RCE）。攻擊者能夠讀取或篡改共享內(nèi)存中的數(shù)據(jù)，操縱模型輸出，進而控制整個推理后端的行為。

這可能導(dǎo)致一系列嚴(yán)重后果，如模型被盜、數(shù)據(jù)泄露、響應(yīng)被操縱，甚至系統(tǒng)失控。目前，英偉達已發(fā)布補丁，但所有25.07版本之前的系統(tǒng)都處于“裸奔”狀態(tài)，用戶需將Triton Inference Server更新到最新版本。

一處漏洞，牽一發(fā)而動全身

這次的漏洞鏈危害極大。據(jù)Wiz表示，該漏洞鏈可能允許未經(jīng)身份驗證的遠程攻擊者控制英偉達Triton推理服務(wù)器，引發(fā)一系列嚴(yán)重后果。

首先是“模型被盜（Model Theft）”，攻擊者可通過精確定位共享內(nèi)存區(qū)域，竊取專用且昂貴的人工智能模型。其次是“數(shù)據(jù)泄露（Data Breach）”，一旦控制了模型運行時的內(nèi)存，攻擊者就能實時讀取模型輸入輸出，截取模型處理過程中涉及的敏感數(shù)據(jù)，如用戶信息或財務(wù)數(shù)據(jù)。接著是“響應(yīng)被操縱（Response Manipulation）”，攻擊者不僅能讀取數(shù)據(jù)，還能寫入數(shù)據(jù)，操縱AI模型的輸出，使其產(chǎn)生錯誤、有偏見或惡意的回應(yīng)。最后是“橫向移動（Pivoting）”導(dǎo)致的“系統(tǒng)失控”，攻擊者利用已攻陷的服務(wù)器作為跳板，進一步攻擊該組織網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)。

可以說，一個Triton漏洞就足以摧毀一個AI平臺的四大支柱：模型、數(shù)據(jù)、輸出、系統(tǒng)。

什么漏洞，居然這么危險？

這次的漏洞鏈由三個漏洞組成。CVE - 2025 - 23320：當(dāng)攻擊者發(fā)送一個超大請求超出共享內(nèi)存限制時，會觸發(fā)異常，返回的錯誤信息會暴露后端內(nèi)部IPC（進程間通信）共享內(nèi)存區(qū)的唯一標(biāo)識符（key）。

CVE - 2025 - 23319：利用上述標(biāo)識符，攻擊者可執(zhí)行越界寫入（out - of - bounds write）。

CVE - 2025 - 23334：利用標(biāo)識符可實現(xiàn)越界讀（out - of - bounds read）。

這三個漏洞環(huán)環(huán)相扣，構(gòu)成了完整的攻擊鏈條。首先，攻擊者借助CVE - 2025 - 23320的錯誤信息泄露漏洞，獲取Triton Python后端內(nèi)部共享內(nèi)存的唯一標(biāo)識符。掌握該標(biāo)識符后，攻擊者利用CVE - 2025 - 23319和CVE - 2025 - 23334兩個漏洞，對該共享內(nèi)存區(qū)域進行越界寫入和越界讀取操作。具體而言，攻擊者通過濫用共享內(nèi)存API，不受限制地讀寫后端內(nèi)部的內(nèi)存數(shù)據(jù)結(jié)構(gòu)。最后，在獲得對后端共享內(nèi)存的讀寫權(quán)限后，攻擊者能夠干擾服務(wù)器正常行為，進而實現(xiàn)對服務(wù)器的完全控制。

可能的攻擊方式包括：破壞后端共享內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)，尤其是包含指針的結(jié)構(gòu)（如MemoryShm、SendMessageBase），從而實現(xiàn)越界讀寫；偽造和操控IPC消息隊列中的消息，造成本地內(nèi)存破壞或邏輯漏洞利用。從最初的信息泄露，升級至全面的系統(tǒng)入侵，這一“完美”的攻擊路徑在很大程度上與Triton的架構(gòu)有關(guān)。

通用是一把雙刃劍

雖然這次漏洞集中在Triton的Python后端，但“Python后端”并非專供Python框架調(diào)用。英偉達的Triton是一個通用的推理平臺，旨在幫助開發(fā)者簡化AI模型在各種框架（如PyTorch、TensorFlow、ONNX）上的部署和運行。

為實現(xiàn)這一目標(biāo)，Triton采用了模塊化的后端架構(gòu)，每個后端負(fù)責(zé)執(zhí)行對應(yīng)框架的模型。當(dāng)一個推理請求到來時，Triton會自動識別模型所屬的框架，并將請求發(fā)送給對應(yīng)的后端執(zhí)行。然而，在推理的不同階段，即便模型主要運行在某個后端（如PyTorch后端），也可能在內(nèi)部調(diào)用Python后端完成某些任務(wù)。也就是說，哪怕主模型在TensorFlow或PyTorch上運行，但只要流程中包含定制環(huán)節(jié)，Python后端就有可能被調(diào)入執(zhí)行。因此，Python后端不僅服務(wù)于Python框架的模型，還更廣泛地應(yīng)用于Triton的推理流程中，這使其成為一個潛在的安全薄弱點，影響范圍更大。

此外，Triton Python后端的核心邏輯是用C++實現(xiàn)的。當(dāng)有推理請求到來時，這個C++組件會與一個單獨的“stub”（存根）進程通信，后者負(fù)責(zé)加載并執(zhí)行具體的模型代碼。為使C++邏輯和stub進程之間順利交流，Python后端采用了復(fù)雜的進程間通信（IPC）機制，用于推理數(shù)據(jù)傳輸和內(nèi)部操作協(xié)調(diào)。這個IPC基于命名共享內(nèi)存（通常是/dev/shm路徑下的共享內(nèi)存區(qū)域），每個共享內(nèi)存區(qū)都有唯一的系統(tǒng)路徑標(biāo)識符，即上述提到的標(biāo)識符key。

這樣的設(shè)計可實現(xiàn)高速的數(shù)據(jù)交換，但也帶來了一個關(guān)鍵的安全隱患：共享內(nèi)存名稱的安全性和隱私保護非常重要，一旦名稱泄露，就可能被攻擊者利用。綜上所述，通用平臺因靈活反而成為安全命門，即所謂“一處漏洞，牽一發(fā)而動全身”。

幸運的是，雖然漏洞鏈殺傷力巨大，但目前還只停留在實驗室里，尚未被發(fā)現(xiàn)用于實際攻擊。接到Wiz Research的報告后，英偉達火速修復(fù)了這三個漏洞，并發(fā)布了更新后的Triton Inference Server 25.07版本。

只能說，“漏洞這種事，還是被自己人先發(fā)現(xiàn)更安心”。

參考鏈接：

[1]https://www.theregister.com/2025/08/05/nvidia_triton_bug_chain/

[2]https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server

[3]https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html

本文來自微信公眾號“量子位”（ID：QbitAI），作者：henry，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請在文中注明來源及作者名字。

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時與我們聯(lián)系進行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com