nvidia on korjattu kriittisen haavoittuvuusketjun Tritonin päätelmän palvelimeen sen jälkeen, kun tietoturvayritys Wiz Research löysi joukon virheitä, jotka voisivat antaa vääristymättömät hyökkääjät hallita AI-järjestelmiä täydellisesti. Hyödyntäminen mahdollistaa etäkoodin suorittamisen (RCE), mikä luo vakavan riskin organisaatioille, jotka luottavat suosittuun AI-malli-palvelevaan alustaan.
Menestyvä hyökkäys voi johtaa omistettujen AI-mallien varkauksiin, arkaluontoisten tietojen altistumiseen tai AI-luomaiden vasteiden manipulointiin. Wiz Research kertoi hyväksikäytöstä 4. elokuuta, samana päivänä Nvidia julkaisi tietoturvatiedot ja kehotti kaikkia käyttäjiä päivittämään järjestelmänsä heti. AI-mallit mittakaavassa, tukevat kehyksiä, kuten Tensorflow ja Pytorch. Hyökkäyksen hienostuneisuus on sen lisääntymisessä pienestä virheestä täyteen järjestelmän kompromissiin, korostaen nykyaikaisen AI-infrastruktuurin kohtaavia monimutkaisia turvallisuushaasteita. Triton Serveristä on tullut kulmakivi AI: n käyttöönottoon, jonka avulla tuhannet yritykset voivat palvella malleja tehokkaasti. Sen yleinen muotoilu on avain sen suosioon, mutta tämä laajalle levinnyt adoptio tekee siitä myös korkean arvon tavoitteen hyökkääjille, jotka pyrkivät vaarantamaan AI-työkuormat heidän lähteellään.
tietovuodoista etäkoodin etäisyyteen
Hyökkäysketju, Wiz Researchin löytämä, alkaa palvelimen suositussa python-taustalla. Tutkijat havaitsivat, että lähettämällä muotoiltu, suuren pyynnön hyökkääjä voi laukaista poikkeuksen. Tämä virhe palauttaa virheellisesti taustan sisäisen IPC: n jaetun muistin alueen täydellisen, yksilöllisen nimen.
Tämä vuotanut nimi on avain. Python-taustan Core C ++-logiikka kommunikoi erillisellä”tynkä”-prosessilla mallin suorittamiseen prosessinvälisen viestinnän (IPC) kautta. Tämä IPC luottaa nimettyyn jaettuun muisti-alueeseen nopean tiedonsiirron saavuttamiseksi, ja sen nimen on tarkoitus pysyä yksityisenä.
tällä vuotaneella avaimella hyökkääjä voi väärinkäyttää Tritonin julkista jaettua muisti-sovellusliittymää. Tämä ominaisuus on suunniteltu suorituskykyyn, mutta sen validoinnin puutteesta tulee hyökkäyksen vektori. Sovellusliittymä ei tarkista, vastaako toimitettu avain laillista käyttäjä-aluetta vai yksityistä, sisäistä.
Tämä valvonta antaa hyökkääjälle rekisteröidä palvelimen sisäisen muistin omiksi, antaen heille tehokkaan lukemisen ja kirjoituksen. Sieltä RCE: n saavuttaminen on kyse tämän korruptoituneiden tietorakenteiden pääsyn hyödyntämisestä tai prosessien välisen viestinnän (IPC) viesteistä mielivaltaisen koodin suorittamiseksi. Kuten Wiz-tutkijat selittivät:”Ketjutettuna yhdessä, nämä puutteet voivat mahdollisesti antaa etäkäytön, todentamattomalle hyökkääjälle saada palvelimen täydellisen hallinnan saavuttamalla etäkoodin suorittamisen (RCE).”Tämä kyky siirtyy yksinkertaisten tietovarkauksien ulkopuolelle ja AI-ohjattujen palveluiden aktiiviseen sabotaasiin.
AI-mallien varkaus on merkittävä taloudellinen uhka. Nämä varat voivat edustaa miljoonia dollareita tutkimus-, kehitys-ja koulutuskustannuksia. Niiden menettämisessä kilpailijalle tai vastustajalle voi olla tuhoisia liiketoimintavaikutuksia uhrin organisaatiolle.
hyökkääjät voivat myös siepata käsiteltäviä arkaluontoisia tietoja tai manipuloida mallituotteita haitallisten tai puolueellisten tulosten tuottamiseksi. Varjoitettu palvelin voi toimia rantapääinä sivuttaisliikkeelle yritysverkossa, kuten Wiz totesi: “Tämä aiheuttaa kriittisen riskin organisaatioille, jotka käyttävät Tritonia AI/ML: llä, koska onnistunut hyökkäys voi johtaa arvokkaiden AI-mallien varkauksiin…”
Tämä löytö korostaa AI: n toimitusketjun varmistamisen kasvavaa merkitystä. Kuten Wiz Research päättyi raportissaan,”Verbose-virhesanoma yhdessä komponentissa, ominaisuus, jota voidaan käyttää pääpalvelimessa väärin, oli kaikki tarvittava polun luomiseen potentiaaliseen järjestelmän kompromissiin.”Tapahtuma toimii karkeana muistutuksena siitä, että jopa suorituskykyä varten suunniteltuja ominaisuuksia voi aiheuttaa odottamattomia turvallisuusriskejä, jos niitä ei toteuteta tiukalla validointitarkistuksella.
Vastuullinen paljastaminen ja lieventäminen
Ilmoitusprosessi seurasi teollisuuden parhaita käytäntöjä. Wiz Research raportoi NVIDIA: n haavoittuvuusketjun 15. toukokuuta 2025, kun NVIDIA tunnusti raportin seuraavana päivänä. Tämä yhteistyö mahdollisti koordinoidun vastauksen, joka huipentui 4. elokuuta laastarin julkaisuun. Yhtiö neuvoo kaikkia käyttäjiä päivittää sekä Nvidia Tritonin päätelmän että python-taustan versioon 25.07 totesi, että se ei ole tietoinen näiden haavoittuvuuksien aktiivisesta hyödyntämisestä luonnossa. Teknisten yksityiskohtien julkistaminen tarkoittaa kuitenkin sitä, että hyökkääjät voivat pian yrittää toistaa hyväksikäytön, mikä tekee välittömästä korjaamisesta kaikille Triton-käyttäjille.