科技ZDI查函式安漏洞 Python pickle模再成
的Merlin Transformers4Rec函式近日被揭露存在一高漏洞。
(NVIDIA)的Merlin Transformers4Rec函式近日被揭露存在一高漏洞(CVE-2025-23298),漏洞允未授的攻者透一不安全的模型查(Checkpoint)入器,取得端程式行(RCE)的最高限。
[caption id="attachment_193557" align="aligncenter" width="1920"]
函式漏洞已修完成。(/)[/caption]
PyTorch的入制成安破口
安公司科技旗下的Zero Day Initiative(ZDI)指出,漏洞的根源在於Merlin函式中的load_model_trainer_states_from_checkpoint函。函在入模型,使用了PyTorch的torch.load(),但有定任何安全。
PyTorch的torch.load()底是依Python的pickle模,而pickle的允其入任意的Python物件,只要攻者在序列化案中手,就能控制反序列化(deserialization)的整程。
同,攻者只需在意的查案中定一客化的__reduce__方法,就能在模型入行任意的系指令,例如呼叫os.system()端伺服器下行意本。
泛的攻面重後果
漏洞的攻面相泛,因在AI社群中,研究人者常透公共程式(如GitHub)或端存空,分享先好的模型查。一旦攻者意模型植入些公平台,任何下入模型的用都可能成受害者。
更令人的是,多企的器流程(ML pipelines)在行通常都有高的限。意味著,一旦攻成功,客不能掌控模型主,更有可能限提升至最高(Root privileges),而控制整伺服器或企部路。
的修方案者自保之道
已透PR #802修了,他用一客化的load()函取代了原始的pickle呼叫,新函格限定只允已批准的行反序列化。
了防似的安漏洞,安人也出了重要的建:
- 永不要信任外部料:者不自不可信源的料使用pickle。
- 使用更安全的替代格式:Safetensors或ONNX等格式是更安全的模型存方式,先考。
- 化部安:企模型案行加密章,反序列化程放入沙盒(sandbox)中行,定期器流程行安核。
篇文章 科技ZDI查函式安漏洞 Python pickle模再成 最早出於 科技-掌握科技新、科技最新。
- 者:敬
- 更多科技新 »
