A
nvidia a Triton következtetési kiszolgálójában egy kritikus sebezhetőségi láncot javított, miután a Wiz Research biztonsági cég olyan hibák sorozatát fedezte fel, amelyek lehetővé teszik a nem hitelesített támadók számára, hogy az AI rendszerek teljes irányítását átvegyék. A kizsákmányolás lehetővé teszi a távoli kódok végrehajtását (RCE), ami súlyos kockázatot jelent a népszerű AI modell-kiszolgáló platformon támaszkodó szervezetek számára. A Wiz Research augusztus 4-én, ugyanazon a napon részletezte a kizsákmányolást. AI méretarányú AI modellek, támogatva a kereteket, mint például a Tensorflow és a Pytorch. A támadás kifinomultsága abban rejlik, hogy a kisebb hibától a teljes rendszernek a kompromisszumra esik, kiemelve a modern AI infrastruktúra előtt álló összetett biztonsági kihívásokat. Az AI telepítésének sarokkövévé vált, lehetővé téve a több ezer vállalat számára a modellek hatékony kiszolgálását. Egyetemes kialakítása kulcsfontosságú a népszerűség szempontjából, de ez a széles körben elterjedt örökbefogadás nagy értékű célpontot jelent a támadók számára, akik a forrásukban az AI munkaterhelések veszélyeztetésére törekszenek. href=”https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server”cél=”_ blank”> A Wiz Research felfedezte, A szerver népszerű Python háttérképében kezdődik. A kutatók azt találták, hogy egy kidolgozott, nagy kérés elküldésével a támadó kivételt válthat ki. Ez a hiba helytelenül adja vissza a háttér belső IPC megosztott memória régiójának teljes, egyedi nevét.
Ez a kiszivárgott név a kulcs. A Python háttér-Core C ++ logikája különálló „csonk” eljárással kommunikál a modell végrehajtására a folyamatközi kommunikáción keresztül (IPC). Ez az IPC egy megnevezett megosztott memória régióra támaszkodik a nagysebességű adatátvitelhez, és neve magánszemély marad. Ezt a funkciót a teljesítményre tervezték, de az érvényesítés hiánya a támadás vektorává válik. Az API nem ellenőrzi, hogy a biztosított kulcs megfelel-e egy legitim felhasználói régiónak vagy egy privát, belső résznek. Innentől kezdve az RCE elérése a korrupt adatszerkezetekhez való hozzáférés kihasználása vagy a folyamatközi kommunikációs (IPC) üzenetek manipulálása az önkényes kód végrehajtásához. Ahogyan a Wiz kutatói kifejtették:”Ha együtt láncolnak, ezek a hibák lehetővé teszik a távoli, hitelesített támadó számára, hogy teljes irányítást kapjon a szerver felett, és elérje a távoli kód végrehajtását (RCE).”Ez a képesség túlmutat az egyszerű adatlopáson és az AI-vezérelt szolgáltatások aktív szabotázsába.
Az AI modellek lopása jelentős pénzügyi veszélyt jelent. Ezek az eszközök millió dollárt képviselhetnek a kutatás, a fejlesztés és a képzési költségek terén. Ha elveszítik őket egy versenytársnak vagy ellenfélnek, pusztító üzleti következményekkel járhatnak az áldozatok szervezete számára. Egy veszélyeztetett szerver tengerparti fejként működhet a vállalati hálózaton belüli oldalirányú mozgáshoz, amint azt Wiz megjegyezte: „Ez kritikus kockázatot jelent a Triton AI/ML-hez használó szervezetek számára, mivel a sikeres támadás az AI ellátási lánc biztonságának növekvő jelentőségének növekvő jelentőségét hangsúlyozhatja. Amint a Wiz Research a jelentésében befejeződött: „Egy komponens verbózus hibaüzenete, amely a főszerveren visszaélhet, csak annyit igényelt, hogy létrehozza a potenciális rendszer kompromisszumának elérési útját.” Az esemény éles emlékeztetőként szolgál, hogy még a teljesítményhez tervezett szolgáltatások előre nem látható biztonsági kockázatokat vezethetnek be, ha nem alkalmazzák szigorú validációs ellenőrzésekkel. A Wiz Research 2025. május 15-én jelentette be az NVIDIA-val szembeni sebezhetőségi láncot, amikor az NVIDIA másnap elismerte a jelentést. Ez az együttműködés lehetővé tette a koordinált választ, amely az augusztus 4-i javítás kiadásának csúcspontjába került. A vállalat határozottan azt tanácsolja az összes felhasználónak, hogy frissítse mind az nvidia triton következtetési kiszolgálót, és a Python Backend-et a 25.07 verzióhoz, hogy megkönnyítse a fenyegetést
Pythid-t. Nem ismeri a vadon élő sebezhetőségek aktív kiaknázását. A műszaki részletek nyilvános nyilvánosságra hozatala azonban azt jelenti, hogy a támadók hamarosan megkísérelhetik megismételni a kizsákmányolást, és az azonnali javítást az összes Triton-felhasználó számára kritikus prioritássá teszik.