一波未平,一波又起。
英伟达 Triton 推理服务器,被安全研究机构 Wiz Research 曝光了一组高危漏洞链。
这组漏洞可以被组合利用,实现远程代码执行(RCE),攻击者可以读取或篡改共享内存中的数据,操纵模型输出,控制整个推理后端的行为。
可能造成的后果包括模型被盗、数据泄露、响应操纵,乃至系统失控。
目前,英伟达已经发布补丁,但所有 25.07 版本之前的系统都处于裸奔状态,用户需要将 Triton Inference Server 更新到最新版本。
一处漏洞,牵一发而动全身
这次的漏洞链危害有多大呢?
据 Wiz 表示,该漏洞链可能允许未经身份验证的远程攻击者控制英伟达 Triton 推理服务器,进而可能导致以下一连串的严重后果:
首先,是模型被盗(Model Theft),攻击者可以通过精确定位共享内存区域,窃取专用且昂贵的人工智能模型。
其次,是数据泄露(Data Breach),一旦控制了模型运行时的内存,攻击者就能实时读取模型输入输出,截取模型处理过程中涉及的敏感数据(例如用户信息或财务数据)。
再往后,是响应被操纵(Response Manipulation),攻击者不仅能读,还能写。他们可以操纵 AI 模型的输出,使其产生错误、有偏见或恶意的回应。
最后,是横向移动(Pivoting)导致的系统失控,攻击者利用已经被攻陷的服务器,作为跳板,进一步攻击该组织网络内的其他系统。
可以说,一个 Triton 漏洞就足以摧毁一个 AI 平台的四大支柱:模型、数据、输出、系统。
什么漏洞,居然这么危险?
这次的漏洞链由三个漏洞组成:
CVE-2025-23320:当攻击者发送一个超大请求超出共享内存限制时,会触发异常,返回的错误信息会暴露后端内部 IPC(进程间通信)共享内存区的唯一标识符(key)。
CVE-2025-23319:利用上述标识符,攻击者可执行越界写入(out-of-bounds write)。
CVE-2025-23334:利用标识符可实现越界读(out-of-bounds read)。
这三个漏洞环环相扣,构成了完整的攻击链条:
首先,攻击者借助 CVE-2025-23320 的错误信息泄露漏洞,获取 Triton Python 后端内部共享内存的唯一标识符。
当掌握了这个标识符后,攻击者便可利用 CVE-2025-23319 和 CVE-2025-23334 两个漏洞,对该共享内存区域进行越界写入和越界读取操作。
具体来说,攻击者通过滥用共享内存 API,不受限制地读写后端内部的内存数据结构。
最后,在获得对后端共享内存的读写权限后,攻击者能够干扰服务器正常行为,进而实现对服务器的完全控制。
可能的攻击方式包括但不限于:
– 破坏后端共享内存中的数据结构,尤其是包含指针的结构(如 MemoryShm、SendMessageBase),从而实现越界读写。
– 伪造和操控 IPC 消息队列中的消息,造成本地内存破坏或逻辑漏洞利用。
从最初的信息泄露,升级至全面的系统入侵,这一“完美”的的攻击路径在很大程度上就和 Triton 的架构有关。
通用是一把双刃剑
虽然这次漏洞集中在 Triton 的 Python 后端,但“Python 后端”并不是专供 Python 框架调用的。
英伟达的 Triton 是一个通用的推理平台,它设计的目的是帮助开发者简化 AI 模型在各种框架(比如 PyTorch、TensorFlow、ONNX)上的部署和运行。
为了实现这一点,Triton 采用了模块化的后端架构,每个后端负责执行对应框架的模型。
当一个推理请求到来时,Triton 会自动识别模型所属的框架,并将请求发送给对应的后端执行。
然而,在推理的不同阶段,即便模型主要运行在某个后端(比如 PyTorch 后端),也可能会在内部调用 Python 后端完成某些任务。
换句话说,哪怕主模型在 TensorFlow 或 PyTorch 上运行,但只要流程中包含定制环节,Python 后端就有可能被调入执行。
所以,Python 后端并不仅仅服务于 Python 框架的模型,而是被更广泛地用在 Triton 的推理流程中,这也使得它成为一个潜在的安全薄弱点,影响范围更大。
此外,Triton Python 后端的核心逻辑是用 C++ 实现的,
当有推理请求到来时,这个 C++ 组件会与一个单独的“stub”(存根)进程通信,后者负责加载并执行具体的模型代码。
为了让 C++ 逻辑和 stub 进程之间顺利交流,Python 后端采用了复杂的进程间通信(IPC)机制,用于推理数据传输和内部操作协调。
这个 IPC 基于命名共享内存(通常是 / dev / shm 路径下的共享内存区域),每个共享内存区都有唯一的系统路径标识符,也就是我们上面说到的标识符 key。
这样的设计可以实现高速的数据交换,但也带来了一个关键的安全隐患:共享内存名称的安全性和隐私保护非常重要,一旦名称泄露,就可能被攻击者利用。
综上,通用平台正因为灵活,反而却成为了安全命门,即所谓一处漏洞,牵一发而动全身。
幸运的是,虽然漏洞链杀伤力巨大,但目前还只停留在实验室里,尚未被发现用于实际攻击。
在接到 Wiz Research 的报告后,英伟达也是火速修复了这三个漏洞,并发布了更新后的 Triton Inference Server 25.07 版本。
只能说,漏洞这种事,还是被自己人先发现更安心。
参考链接:
[1]https://www.theregister.com/2025/08/05/nvidia_triton_bug_chain/
[2]https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server
[3]https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html
本文来自微信公众号:量子位(ID:QbitAI),作者:henry
