英伟达修复威胁AI模型安全的Triton服务器关键漏洞

安全研究人员在英伟达广受欢迎的开源Triton推理服务器中发现了一系列关键漏洞链。这些漏洞如果被串联利用，可能允许未经身份验证的远程攻击者完全控制服务器，实现远程代码执行（RCE）。

漏洞链的严重性

Wiz公司的安全研究人员Ronen Shustin和Nir Ohfeld在博客文章中表示：“这些缺陷串联起来，可能允许远程、未经认证的攻击者获得服务器的完全控制权，实现远程代码执行。这对使用Triton进行AI/ML的组织构成了关键风险，成功的攻击可能导致有价值的AI模型被盗、敏感数据泄露、AI模型响应被操纵，以及攻击者在网络中横向移动的立足点。”

攻击链的工作原理

攻击链始于Triton Python后端的一个错误：通过精心构造的推理请求，可以在错误消息中泄露完整的共享内存密钥。这个本应保持私密的密钥随后通过Triton的共享内存API（旨在提高性能）被滥用，使攻击者能够任意读写内部后端内存。

研究人员解释说：“Triton提供了一个用户友好的共享内存功能来提高性能。客户端可以使用此功能让Triton从预先存在的共享内存区域读取输入张量并写入输出张量。这个过程避免了通过网络传输大量数据的昂贵成本，是优化推理工作负载的强大工具。”

该漏洞源于API未能验证共享内存密钥是指向有效的用户拥有区域还是受限制的内部区域。最终，内存损坏或进程间通信（IPC）结构的操作为完全远程代码执行打开了大门。

影响范围广泛

Wiz研究人员将分析重点放在Triton的Python后端上， citing其流行度和在系统中的核心作用。虽然它处理用Python编写的模型，但它也是其他几个后端的依赖项 - 这意味着在不同框架下配置的模型在推理过程的某些部分可能仍然依赖它。

如果被利用，这个漏洞链可能让未经认证的攻击者远程控制Triton，可能导致AI模型被盗、敏感数据泄露、模型输出被篡改，以及在受害者网络内进行横向移动。

修复措施发布

英伟达此前曾表示，其AI推理平台被超过25000家客户使用，包括微软、Capital One、三星Medison、西门子能源和Snap等科技巨头。

该公司已发布安全公告，详细说明了这些被分配了CVE编号的漏洞：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334，并提供了补丁。建议用户将Nvidia Triton推理服务器和Python后端都升级到25.07版本，以完全缓解此问题。

随着AI采用的规模化，像Triton这样的模型服务基础设施正在成为关键的攻击面。2023年10月，来自Hugging Face和Torch Serve等主要提供商的推理端点曾面临导致重大暴露风险的问题。