HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称泄露的详细信息包括从医疗从业者的姓名到家庭住址的一切信息。Cybernews研究团队认为，这些数据可能源自第三方服务提供商的漏洞。 该帖子被发布在一个流行的数据泄露论坛上，此类论坛常被用来分享被盗数据。攻击者并未明确说明数据的具体来源，但他们声称数据包含了43.3万名美国医疗从业者的信息。 Cybernews研究团队查看了攻击者提供的数据样本，并得出结论认为，其中的信息混合了个人和工作账户。包含的数据类型表明，这些信息可能是从多次数据泄露中整理而来，或是某个被黑的特定第三方服务提供商泄露的。 （攻击者在数据泄露论坛上发布的帖子图片，由Cybernews提供。） “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了以下可能性：数据可能来自不同来源，或者此次漏洞尚未公开。”我们的团队解释道。 据称，该数据库包含了大量关于医生、外科医生和医疗保健专业人员的个人敏感信息，包括： 全名 电话号码 职称 专业领域 医院信息 电子邮件 地址 其他数据 团队注意到，该帖子的作者此前曾发布过按地点、行业和泄露细节数量分类的类似数据库。“换句话说，该帖文的作者可能是从许多不同来源收集数据，并且对其来源秘而不宣。”团队解释道。 与此同时，恶意行为者可以通过多种邪恶途径利用这些泄露的详细信息。最明显的是身份盗窃，即攻击者冒充个人建立欺诈账户。 然而，由于泄露的数据揭示了特定人群的信息，网络犯罪分子更可能利用这些信息进行定向钓鱼攻击。在这种情况下，攻击者会精心制作信息，其中包含能吸引（例如）医疗从业者的内容。 “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了数据可能来自不同来源，或者此次漏洞尚未公开的可能性。” Cybernews研究团队解释道。 攻击者的主要目标是让受害者透露更多个人信息，或诱骗他们下载恶意软件。医疗数据是网络犯罪地下市场中最有价值的战利品之一，因为它通常能使网络犯罪分子提交欺诈性医疗索赔，从而用于非法购买处方药。 此外，攻击者会以医护人员为目标投放恶意软件，因为这可能促成针对医疗保健提供商的勒索软件攻击。勒索软件团伙专注于攻击医院，因为此类组织无法允许系统宕机，并且在攻击者看来，它们更有可能支付赎金。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡科技设计大学（SUTD）旗下ASSET（自动化系统安全）研究团队开发出一种无需依赖伪基站（gNB）即可将5G连接降级至低世代网络的新型攻击技术。该攻击基于名为Sni5Gect（“Sniffing 5G Inject”的缩写）的开源工具包，能够嗅探基站与用户设备（UE，即手机）间传输的未加密消息，并通过空口向目标设备注入恶意消息。 据研究者罗世杰（Shijie Luo）、Matheus Garbelini、Sudipta Chattopadhyay和周建英（Jianying Zhou）介绍，该框架可实现多种攻击，包括：使设备调制解调器崩溃、强制网络降级至旧世代、设备指纹识别或绕过认证机制。与传统依赖伪基站的5G攻击不同，Sni5Gect以第三方身份插入通信链路，在用户设备接入过程中被动嗅探消息并实时解码协议状态，进而利用状态信息精准注入攻击载荷。 技术原理与突破 攻击利用5G通信中认证前阶段的安全窗口：当手机发起随机接入（RACH）至建立NAS安全上下文期间，基站与设备交换的消息既无加密也无完整性保护。攻击者无需掌握设备凭证，即可监听上下行流量并注入伪造消息。其核心创新在于： 被动嗅探：实时解码基站与设备间未加密消息（如RRC建立请求、注册请求等），跟踪协议状态； 有状态注入：根据协议状态在关键时间点（如设备发送注册请求后）注入攻击载荷，设备误认消息来自合法基站而执行恶意指令。 攻击能力验证 研究团队在20米距离内对五款商用手机（一加Nord CE 2、三星Galaxy S22、谷歌Pixel 7、华为P40 Pro及Fibocom USB调制解调器）进行测试： 上下行流量嗅探准确率超80%； 数据包注入成功率高达70%-90%； 成功演示三类攻击： 单次注入生效：如注入畸形RRC消息触发调制解调器崩溃（利用5Ghoul漏洞），或注入“N1模式拒绝”消息强制5G降级至4G； 需响应的单次注入：通过“身份请求”消息诱骗设备返回加密的SUCI身份标识； 多阶段降级攻击（CVD-2024-0096）：篡改认证请求的序列号并重播，触发设备防护机制拉黑5G基站，最终迫使其自动连接4G网络。 行业影响与响应 全球移动通信系统协会（GSMA）已承认该降级攻击的威胁性，并为其分配漏洞编号CVD-2024-0096。研究者强调，Sni5Gect不仅是首个无需伪基站的5G空口嗅探与注入框架，更为安全研究提供关键工具：既可推动运营商优化认证前消息的完整性校验机制，也能促进5G物理层安全及入侵检测技术的发展。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现GPT-5存在安全漏洞：用户获得的回答可能并非来自GPT-5本身。这一漏洞源于其内部路由机制存在类似SSRF（服务器端请求伪造）的缺陷。 当用户向GPT-5提问时，答案未必由GPT-5生成。该模型内置初始路由解析器，会根据问题内容决定调用哪个子模型处理请求——可能是用户预期的GPT-5 Pro，但也可能被路由至GPT-3.5、GPT-4o、GPT-5-mini或GPT-5-nano等旧版或精简版模型。 这种动态路由机制的设计初衷可能是平衡效率与成本：通过将简单查询导向更轻量、快速的模型，避免始终调用推理能力强大但运行成本高昂的GPT-5核心模型。据Adversa AI公司估算，该机制每年可为OpenAI节省约18.6亿美元开支，但运作过程完全不透明。 更严重的是，Adversa研究人员发现用户可通过特定“触发短语”操纵路由决策，强制将查询导向指定模型。该漏洞被命名为PROMISQROUTE（全称为“提示诱导路由操纵漏洞”）。“这本质上是针对路由器的规避攻击，”Adversa AI联合创始人兼CEO亚历克斯·波利亚科夫解释，“我们操纵了原本简单的路由决策流程，决定哪个模型应处理请求。” 虽然路由机制并非OpenAI独有（其他服务商通常允许用户手动选择模型），但此类自动化路由正越来越多地出现在智能体架构中——即由某个模型决定如何将请求传递至其他模型。 该漏洞是Adversa在测试GPT-5拒绝机制时偶然发现的。某些提问会引发无法解释的回复矛盾，使研究人员怀疑响应来自不同模型。他们观察到部分旧版越狱手段突然复活，且当提问中刻意提及旧模型时，即使GPT-5本身能阻止的越狱行为也会成功。 被动风险与主动威胁 单纯的路由错误已可能引发严重后果：例如不同模型具有差异化倾向与缺陷，若查询被导向能力较弱或安全校准不足的模型，可能增加幻觉输出或不安全内容的概率。 但真正的危险在于：攻击者可利用路由漏洞将恶意查询导向安全性较低的旧模型，从而绕过GPT-5 Pro的防护机制。“假设攻击者试图用越狱指令攻击GPT-5失败后，只需在提问前添加简单指令诱骗路由器将请求发送至存在漏洞的旧模型，”波利亚科夫指出，“先前失败的越狱就可能成功执行。” 这意味着尽管GPT-5 Pro自身安全性优于前代，但路由漏洞使其实际防护能力等同于最弱的前代模型。 安全与成本的矛盾 解决方案看似简单——禁用向弱安全模型的路由即可，但这将损害商业利益：完全依赖GPT-5 Pro会显著降低响应速度（影响用户体验），且每项查询都调用高成本模型将压缩OpenAI利润空间。 波利亚科夫建议：“OpenAI需提升安全性，例如在路由器前增设防护层、增强路由机制本身的安全性，或确保所有子模型（而非仅核心模型）均达到安全标准——最理想的是同时实施这三项措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种结合利用SAP NetWeaver中两个漏洞（编号为CVE-2025-31324和CVE-2025-42999）的新攻击方法，使组织面临系统被入侵和数据被盗的风险。 CVE-2025-31324（CVSS评分：10.0）是NetWeaver Visual Composer开发服务器中存在的一个授权检查缺失漏洞。该漏洞源于NetWeaver Visual Composer元数据上传器缺乏适当的授权检查。这意味着未经认证的攻击者（即没有有效凭证的人员）可利用它向系统上传恶意可执行文件。 一旦这些文件被上传，它们就可能在主机系统上执行，导致目标SAP环境被完全攻陷。SAP已在2025年4月安全补丁日修复了该漏洞。 CVE-2025-42999（CVSS评分：9.1）是SAP NetWeaver Visual Composer开发服务器中存在的不安全反序列化漏洞。该漏洞允许特权用户上传恶意内容，危及系统的机密性、完整性和可用性。美国网络安全和基础设施安全局（CISA）已于2025年5月将此SAP NetWeaver漏洞添加至其“已知被利用漏洞”目录。 VX Underground在社交平台X上发布了针对SAP零日漏洞CVE-2025-31324的利用代码，该代码由“Scattered LAPSUS$ Hunters – ShinyHunters”在Telegram群组中公开。 网络安全公司Onapsis发布的分析报告指出：“这两个被追踪为CVE-2025-31324并与CVE-2025-42999结合利用的初始漏洞，是SAP NetWeaver Visual Composer中两个严重漏洞的组合，CVSS评分为10.0（最高严重等级）。这些漏洞允许未经认证的攻击者在目标SAP系统上执行任意命令，包括上传任意文件。这可能导致远程代码执行（RCE）以及对受影响系统和SAP业务数据与流程的完全接管。”报告强调：“该漏洞已在野外被积极利用，对运行未打补丁SAP系统的组织构成了明确而现实的威胁。” 这种攻击方法将CVE-2025-31324和CVE-2025-42999串联起来，以绕过身份验证并以管理员权限执行恶意代码，使攻击者能够运行操作系统命令、部署Web Shell并完全访问数据和资源。研究人员指出，该利用程序不会在系统上留下痕迹。 “该反序列化工具的公开尤其令人担忧，因为它可以在其他上下文中被重用，例如利用SAP最近在7月修补的反序列化漏洞——这些漏洞由Onapsis发现并报告（2025年7月SAP补丁日：创纪录的补丁与关键反序列化漏洞）： 安全补丁3578900对应CVE-2025-30012（CVSS 10） 安全补丁3620498对应CVE-2025-42980（CVSS 9.1） 安全补丁3610892对应CVE-2025-42966（CVSS 9.1） 安全补丁3621771对应CVE-2025-42963（CVSS 9.1） 安全补丁3621236对应CVE-2025-42964（CVSS 9.1） 这可能会为SAP应用程序的其他领域开辟新的攻击途径。它是攻击者武器库中的强大工具，其公开是一个重大事件。”Onapsis继续强调，“组织应确保这些SAP漏洞也已在其环境中得到及时修补。” Onapsis已与Mandiant合作，在其GitHub页面上发布了针对CVE-2025-31324和CVE-2025-42999的开源扫描器。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名白帽黑客攻破了英特尔的四个内部系统，发现27万名英特尔员工的敏感数据遭到泄露。随后，他花费数月时间帮助该公司堵塞漏洞，最终只收到一封自动回复的感谢信。 安全研究员伊顿·兹维尔（Eaton Zveare）发现，可以绕过英特尔印度公司名片订购网站的身份验证。该系统的API响应返回的数据远超出研究员的预期。 “它给了我一个近1GB的JSON文件。这个文件包含了每位英特尔员工的详细信息。仅仅通过一次API请求，我就窃取了大量详细信息，”兹维尔在领英上发帖称。 进一步调查揭示了其他系统中的关键缺陷。 “不是一个，不是两个，而是四个漏洞，使我能够窃取超过27万名英特尔员工/工作人员的敏感信息，并且我能够通过创造性的JavaScript修补方法侵入多个内部网站，”这位安全研究员在一份报告中披露。 为了绕过英特尔印度运营网站的身份验证，研究员只是调整了客户端代码。该网站使用JavaScript重定向未经身份验证的用户，但研究员修改了一个函数使其返回非空数组，从而成功绕过登录。 研究员惊讶地发现，“后台”通信正在使用一个未经身份验证的API来返回每位员工的信息。他分享了一张截图，其中包含英特尔前首席执行官帕特·基辛格（Pat Gelsinger）的详细信息。 “数据包括姓名、职位、经理、电话号码和邮箱地址等字段，但没有像薪资或社保号这样过于敏感的信息。”他解释道。 另外三个系统暴露 研究员随后发现，英特尔用于组织内部产品组和所有权的“层级管理”（Hierarchy Management）网站包含一个易于解密的硬编码密码，该密码甚至可用于获取系统的管理员权限。 “这种加密完全是徒劳的，”研究员写道，“一切都在客户端完成，意味着客户端拥有密钥，因此可以解密密码！” 解密后的密码更令人惊讶。它只包含数字序列（123…）和字母序列（abc…）。 这个弱密码硬编码的管理员凭证允许访问该网站，其中包含“一些有趣的信息，其中一些可能涉及未发布的产品”。 研究员访问的第三个内部服务是“产品上架”（Product Onboarding）网站，可能用于上传产品信息。 “就泄露/硬编码凭证而言，这是最严重的违规者。” 各种API的凭证以纯文本形式发布在JS文件的注释中。一个加密的GitHub个人访问令牌可能允许读取英特尔ARK（产品数据库）上的虚假产品，但研究员选择不进行测试。 最后，英特尔的SEIMS（供应商环境健康安全知识产权管理系统）网站的企业登录也被攻破。同样，它泄露了所有英特尔员工的数据，但通过额外的客户端修改，可以“获得对系统的完全访问权限，查看有关英特尔供应商的大量机密信息”。 研究员能够访问产品报告和其他文件，例如保密协议（NDA）。 研究员负责任地向英特尔披露了所有漏洞，并将此经历描述为“一个单向的黑洞”。 2024年10月14日，兹维尔发送了第一个有关“商务名片”漏洞的报告，并立即收到一封自动回复邮件，写着“谢谢！”，并解释说网络基础设施漏洞不属于漏洞赏金计划的范围。 “除本通知外，不会发出其他回复或证书。”邮件写道。 这是研究员收到的唯一正式信函。 兹维尔后来在2024年10月29日和11月12日披露了更多漏洞。随后，他发送了多封跟进邮件，敦促轮换泄露的凭证并修复漏洞。 九十天后，漏洞得到修复。2025年2月28日，研究员告知英特尔打算公布调查结果。但他一直等到2025年8月18日，才将报告公开。 “硬件漏洞价值高达10万美元，而网站漏洞基本上被扔进了一个黑洞收件箱，”研究员指出，“好消息是，英特尔最近扩大了其漏洞赏金计划的覆盖范围，将服务纳入其中。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软2025年8月补丁星期二安全更新修复了旗下产品逾百个安全漏洞。本月修补的漏洞均未发现野外利用迹象，但权限提升漏洞CVE-2025-53779已被公开披露。 12个漏洞被标记为“严重”级别，其中多数实际CVSS评分为高危。例外的是Windows GDI+组件远程代码执行漏洞CVE-2025-53766，其CVSS评分达9.8。趋势科技零日计划（ZDI）分析指出，该漏洞可通过诱使用户访问恶意网站或打开恶意文档触发。“最坏情况是攻击者通过广告网络投放恶意内容。广告拦截器不仅过滤骚扰内容，还能防范此类攻击——虽属罕见，但确有先例。”ZDI研究员达斯汀·查尔兹解释，“鉴于GDI+涉及众多组件（且用户易误点内容），建议尽快测试部署补丁。” 另一CVSS满分漏洞CVE-2025-50165影响Windows图形组件，同样允许远程代码执行，需用户查看特制图片才能触发。微软将其评定为“重要”级别。其他高危漏洞包括可通过预览窗格触发的Office远程代码执行漏洞（CVE-2025-53740、CVE-2025-53731），以及SharePoint远程代码执行漏洞CVE-2025-49712——ZDI指出该漏洞与近期ToolShell攻击链利用的漏洞高度相似。 微软标记为“严重”的漏洞还包含：Hyper-V的多个漏洞（信息泄露、欺骗攻击及远程代码执行）、Azure Stack Hub信息泄露漏洞。微软评估这些漏洞“利用可能性较低”或“不太可能被利用”，预计不会出现野外攻击。 Adobe同期发布补丁星期二更新，修复涉及十余款产品的近70个CVE漏洞。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型AI攻击利用被投毒的邀请控制你的灯光、锅炉甚至Zoom应用——而谷歌的Gemini仅仅是开始。 在特拉维夫的一间公寓里，三名网络安全研究人员远程激活了智能锅炉、打开百叶窗并关闭了灯光，整个过程无需物理接触或用户交互。 该攻击并非依赖恶意软件文件或被入侵的WiFi网络——它由一个简单的谷歌日历邀请触发，其中包含针对谷歌AI助手Gemini的隐藏指令。当研究人员随后要求Gemini总结即将发生的事件时，这些隐藏提示词被静默处理，智能设备随即执行了相应操作。 这是已知的首个导致现实世界物理后果的大语言模型（LLM）攻击案例，标志着AI驱动的安全威胁进入新阶段。 间接提示注入如何运作及其危险性 与传统黑客攻击不同，此类攻击并非利用代码漏洞——而是利用大语言模型解释语言的方式。 这种被称为“间接提示注入”的攻击，将恶意指令隐藏在看似无害的内容中，如日历标题、邮件主题或文档名称。AI助手（此例中为Gemini）会读取并处理这些信息，即使用户从未看到或理解它们。当被正常用户行为（如“谢谢”或“好的”）触发时，大语言模型可执行其被授权的操作——例如打开应用、访问文件或控制智能设备。这种攻击手法具有欺骗性的低技术含量，无需代码注入，也不依赖欺骗用户——它欺骗AI去解读用户的环境。 Gemini的新漏洞——当便利变成安全风险 Gemini不仅仅是一个聊天机器人。它是谷歌日益增长的“代理”生态系统的一部分，意味着它可以连接并控制日历、Gmail、Google Home和Zoom等工具。这种集成旨在通过让AI代表用户执行操作来提高生产力，但也扩大了攻击面。 研究人员强调的一个例子中，被投毒的提示词导致Gemini在未经用户批准的情况下打开Zoom并启动视频通话，将手机变成了潜在的监控设备。在另一个例子中，它将用户的邮件主题行编码成虚假的“来源”URL，泄露至攻击者控制的网站。研究人员展示了在安卓和网页平台上的14种攻击场景，表明用户不仅在软件层面，在整个生态系统层面都存在脆弱性。 谷歌的应对措施与用户防护方案 自研究人员曝光该漏洞后，谷歌已引入新的AI过滤器和确认提示，但这些防护措施仍在逐步推出中。根本问题依然存在，因为像Gemini这样的助手仍可能将隐藏文本误解为用户意图。 用户可通过以下方式降低风险： 在谷歌日历中关闭自动添加事件功能（这是提示注入的常见入口点）； 审查并限制助手对智能设备、应用和日历数据的访问权限，以防止意外操作； 像监督实习生般监督AI助手——它们在独立行动前需要监管。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Axis Communications视频监控产品中的多个安全漏洞，若被成功利用，可能导致设备被完全控制。 “攻击可实现在Axis Device Manager（用于配置和管理摄像头群的服务器）及Axis Camera Station（用于查看摄像头画面的客户端软件）上进行认证前远程代码执行，”Claroty研究员Noam Moshe表示。“此外，通过扫描暴露的Axis.Remoting服务，攻击者可枚举易受攻击的服务器和客户端，并发起高度精准的定向攻击。” 已识别的漏洞列表如下： CVE-2025-30023（CVSS评分：9.0）— 客户端与服务器间通信协议缺陷，可导致已认证用户实施远程代码执行攻击（已在Camera Station Pro 6.9、Camera Station 5.58和Device Manager 5.32版本修复） CVE-2025-30024（CVSS评分：6.8）— 客户端与服务器间通信协议缺陷，可被用于发起中间人（AitM）攻击（已在Device Manager 5.32版本修复） CVE-2025-30025（CVSS评分：4.8）— 服务器进程与服务控制间通信协议缺陷，可导致本地权限提升（已在Camera Station Pro 6.8和Device Manager 5.32版本修复） CVE-2025-30026（CVSS评分：5.3）— Axis Camera Station Server中的缺陷，可导致认证绕过（已在Camera Station Pro 6.9和Camera Station 5.58版本修复） 成功利用上述漏洞可使攻击者获得Camera Station与其客户端之间的中间人位置，从而能够篡改请求/响应，并在服务器或客户端系统上执行任意操作。目前尚无证据表明这些漏洞已被野外利用。 Claroty称，全球有超过6500台服务器在互联网上暴露了其专有协议Axis.Remoting及相关服务，其中近4000台位于美国。 “成功利用可使攻击者获得内网系统级访问权限，并控制特定部署中的每个摄像头，”Moshe指出。“攻击者可劫持、监视或关闭视频流，利用这些安全问题绕过摄像头认证，并在设备上实现认证前远程代码执行。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。 Wiz已向NVIDIA负贵披露这些发现，目前补丁已发布。我们感谢NVIDIA安全团队的高效协作与快速响应。NVIDIA为此漏洞链分配了以下标识符：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334。强烈建议所有Triton用户升级至最新版本。本文概述这些新漏洞及其潜在影响。此研究是Wiz披露的系列NVIDIA漏洞中的最新成果，包括两个容器逃逸漏洞：CVE-2025-23266和CVE-2024-0132。 防护措施 立即升级：首要措施是根据NVIDIA安全公告将Triton服务器及Python后端升级至25.07版本。 Wiz客户可通过以下方式检测云环境中易受攻击的实例： 在漏洞发现页面筛选关键问题相关实例 使用安全图谱识别公开暴露的虚拟机/无服务器容器 高级客户可通过动态扫描器筛选已验证结果 传感器客户可筛选运行时验证结果 代码安全客户可通过一键修复生成代码库修复方案 Triton内部机制 Triton作为通用推理服务器，通过模块化后端系统支持主流AI框架（如PyTorch、TensorFlow）。当推理请求到达时，服务器自动将其路由至对应后端执行。本次研究聚焦Python后端——因其不仅是热门多功能后端，还是其他后端的依赖组件。该后端核心逻辑由C++实现，通过独立“存根”进程加载并执行模型代码。二者通过共享内存（/dev/shm）实现高速进程间通信(IPC)，依赖唯一系统路径访问内存区域。 漏洞链分析 第一步：后端共享内存名称泄露 通过发送特制超长请求触发异常，错误响应中意外暴露内部IPC共享内存区域的完整密钥（例如“triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859”）。此密钥本应保持私密，泄露构成攻击链的关键突破点。 第二步：滥用共享内存API实现任意读写 Triton提供面向用户的共享内存API以优化性能。攻击者利用泄露的内部密钥调用注册接口后，可构造推理请求操纵该内存区域。由于API未验证密钥归属，攻击者借此获得对Python后端私有内存的读写权限，包括其IPC控制结构。 第三步：实现远程代码执行的路径 通过篡改共享内存中的数据结构和指针（如MemoryShm、SendMessageBase），攻击者可触发越界内存访问。进一步操纵IPC消息队列可构造恶意指令，最终实现从内存破坏到逻辑漏洞的完整利用链（具体技术细节暂不公开）。 攻击影响 模型窃取：窃取专有高价值AI模型 数据泄露：截获模型处理的用户隐私或金融数据 结果操控：篡改AI输出以制造错误或恶意结果 横向移动：以受控服务器为跳点渗透内网 结论 此案例证明看似微小的漏洞串联可引发系统级入侵。Python后端的详细错误信息与主服务API的验证缺失，共同构成了完整的攻击路径。随着AI/ML的广泛部署，基础架构安全防护至关重要。       消息来源：wiz； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文