NVIDIA修复Triton服务器关键漏洞，威胁AI模型安全

安全研究人员在NVIDIA广受欢迎的开源Triton推理服务器中发现了一系列严重漏洞，这些漏洞可能允许未经身份验证的攻击者完全远程控制服务器。Wiz公司的研究人员Ronen Shustin和Nir Ohfeld在博客中表示：“当这些缺陷被串联利用时，远程攻击者可以实现远程代码执行（RCE），这对使用Triton进行AI/ML的组织构成严重风险。”

漏洞链分析

攻击链始于Triton Python后端的一个错误：通过精心构造的推理请求，错误消息可能泄露完整的共享内存密钥。本应保持私密的密钥随后通过Triton的共享内存API（本为性能优化设计）被滥用，使攻击者能够任意读写内部后端内存。

研究人员指出：“Triton提供了用户友好的共享内存功能以提升性能。客户端可以使用此功能让Triton从预先存在的共享内存区域读取输入张量并写入输出张量。此过程避免了通过网络传输大量数据的昂贵开销，是优化推理工作负载的强大工具。”

该漏洞源于API未能验证共享内存密钥是指向有效的用户拥有区域还是受限制的内部区域。最终，内存损坏或进程间通信（IPC）结构的操作为完全远程代码执行打开了大门。

影响范围与修复

Wiz研究人员重点分析了Triton的Python后端，因其受欢迎程度和在系统中的核心作用。虽然它处理用Python编写的模型，但也是其他几个后端的依赖项——这意味着配置在不同框架下的模型在推理过程中可能仍然依赖它。

NVIDIA此前表示，其AI推理平台被超过25000家客户使用，包括微软、Capital One、三星麦迪逊、西门子能源和Snap等科技巨头。该公司已发布安全公告，详细说明了分配的CVE编号：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334，并提供了补丁。建议用户将NVIDIA Triton推理服务器和Python后端升级到25.07版本以完全解决此问题。

随着AI应用的扩展，像Triton这样的模型服务基础设施正成为关键的攻击面。2023年10月，来自Hugging Face和Torch Serve等主要提供商的推理端点就曾面临导致重大暴露风险的问题。