破解 NVIDIA Triton：CVE-2025-23319 关键漏洞链可致 AI 服务器被全面接管

HackerNews 编译，转载请注明出处：

Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。

此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。

Wiz已向NVIDIA负贵披露这些发现，目前补丁已发布。我们感谢NVIDIA安全团队的高效协作与快速响应。NVIDIA为此漏洞链分配了以下标识符：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334。强烈建议所有Triton用户升级至最新版本。本文概述这些新漏洞及其潜在影响。此研究是Wiz披露的系列NVIDIA漏洞中的最新成果，包括两个容器逃逸漏洞：CVE-2025-23266和CVE-2024-0132。

防护措施

立即升级：首要措施是根据NVIDIA安全公告将Triton服务器及Python后端升级至25.07版本。

Wiz客户可通过以下方式检测云环境中易受攻击的实例：

1. 在漏洞发现页面筛选关键问题相关实例
2. 使用安全图谱识别公开暴露的虚拟机/无服务器容器
3. 高级客户可通过动态扫描器筛选已验证结果
4. 传感器客户可筛选运行时验证结果
5. 代码安全客户可通过一键修复生成代码库修复方案

Triton作为通用推理服务器，通过模块化后端系统支持主流AI框架（如PyTorch、TensorFlow）。当推理请求到达时，服务器自动将其路由至对应后端执行。本次研究聚焦Python后端——因其不仅是热门多功能后端，还是其他后端的依赖组件。该后端核心逻辑由C++实现，通过独立“存根”进程加载并执行模型代码。二者通过共享内存（/dev/shm）实现高速进程间通信(IPC)，依赖唯一系统路径访问内存区域。

漏洞链分析

第一步：后端共享内存名称泄露

通过发送特制超长请求触发异常，错误响应中意外暴露内部IPC共享内存区域的完整密钥（例如“triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859”）。此密钥本应保持私密，泄露构成攻击链的关键突破点。

第二步：滥用共享内存API实现任意读写

Triton提供面向用户的共享内存API以优化性能。攻击者利用泄露的内部密钥调用注册接口后，可构造推理请求操纵该内存区域。由于API未验证密钥归属，攻击者借此获得对Python后端私有内存的读写权限，包括其IPC控制结构。

第三步：实现远程代码执行的路径

通过篡改共享内存中的数据结构和指针（如MemoryShm、SendMessageBase），攻击者可触发越界内存访问。进一步操纵IPC消息队列可构造恶意指令，最终实现从内存破坏到逻辑漏洞的完整利用链（具体技术细节暂不公开）。

攻击影响

1. 模型窃取：窃取专有高价值AI模型
2. 数据泄露：截获模型处理的用户隐私或金融数据
3. 结果操控：篡改AI输出以制造错误或恶意结果
4. 横向移动：以受控服务器为跳点渗透内网

此案例证明看似微小的漏洞串联可引发系统级入侵。Python后端的详细错误信息与主服务API的验证缺失，共同构成了完整的攻击路径。随着AI/ML的广泛部署，基础架构安全防护至关重要。

消息来源：wiz；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文