NVIDIA telah menambal rantai kerentanan kritis di server inferensi Triton setelah perusahaan keamanan Wiz Research menemukan serangkaian kelemahan yang dapat memungkinkan penyerang yang tidak terau otentikasi untuk mengambil kendali penuh atas sistem AI. Eksploitasi memungkinkan eksekusi kode jarak jauh (RCE), menciptakan risiko parah untuk organisasi yang mengandalkan platform pemodelan model AI yang populer.
Serangan yang berhasil dapat menyebabkan pencurian model AI kepemilikan, paparan data sensitif, atau manipulasi respons yang dihasilkan AI. Wiz Research merinci eksploitasi pada 4 Agustus, pada hari yang sama nvidia merilis Buletin Keamanan dan mendesak semua pengguna untuk memperbarui sistem mereka segera. Menyebarkan model AI pada skala, kerangka kerja pendukung seperti TensorFlow dan Pytorch. Kecanggihan serangan itu terletak pada eskalasi dari cacat kecil ke kompromi sistem penuh, menyoroti tantangan keamanan yang kompleks yang dihadapi infrastruktur AI modern.
ditemukan oleh penelitian wiz, dimulai dalam backend python populer server. Para peneliti menemukan bahwa dengan mengirim permintaan besar yang dibuat, seorang penyerang dapat memicu pengecualian. Kesalahan ini secara tidak benar mengembalikan nama lengkap dan unik dari wilayah memori bersama IPC internal backend.
Nama yang bocor ini adalah kuncinya. Logika inti C ++ Python Backend berkomunikasi dengan proses”rintisan”yang terpisah untuk eksekusi model melalui komunikasi antar proses (IPC). IPC ini bergantung pada wilayah memori bersama bernama untuk transfer data berkecepatan tinggi, dan namanya dimaksudkan untuk tetap pribadi.
Dengan kunci yang bocor ini, seorang penyerang dapat menyalahgunakan API memori bersama yang dihadapi publik Triton. Fitur ini dirancang untuk kinerja, tetapi kurangnya validasi menjadi vektor untuk serangan. API tidak memeriksa apakah tombol yang disediakan sesuai dengan wilayah pengguna yang sah atau pribadi, internal.
Pengawasan ini memungkinkan penyerang untuk mendaftarkan memori internal server sebagai milik mereka, memberi mereka akses baca dan tulis yang kuat. Dari sana, mencapai RCE adalah masalah memanfaatkan akses ini ke struktur data yang korup atau memanipulasi pesan komunikasi antar-proses (IPC) untuk menjalankan kode sewenang-wenang.
Risiko kritis terhadap infrastruktur AI
Implikasi dari eksploit yang sukses adalah Severe. Seperti yang dijelaskan oleh para peneliti Wiz, “Ketika dirantai bersama, kelemahan ini berpotensi memungkinkan penyerang jarak jauh dan tidak aautentikasi untuk mendapatkan kendali penuh atas server, mencapai eksekusi kode jarak jauh (RCE).”Kemampuan ini bergerak melampaui pencurian data sederhana dan ke sabotase aktif dari layanan yang digerakkan AI.
Pencurian model AI adalah ancaman keuangan yang signifikan. Aset ini dapat mewakili jutaan dolar dalam biaya penelitian, pengembangan, dan pelatihan. Kehilangan mereka ke pesaing atau musuh dapat memiliki konsekuensi bisnis yang menghancurkan bagi organisasi korban.
Penyerang juga dapat mencegat data sensitif yang sedang diproses atau memanipulasi output model untuk menghasilkan hasil berbahaya atau bias. Server yang dikompromikan dapat bertindak sebagai kepala sekolah untuk gerakan lateral dalam jaringan perusahaan, seperti yang dicatat Wiz, “Ini menimbulkan risiko kritis bagi organisasi yang menggunakan Triton untuk AI/mL, karena serangan yang berhasil dapat menyebabkan pencurian model AI yang berharga…”
Penemuan ini menggarisbawahi pentingnya penegasan rantai AI. Ketika Wiz Research menyimpulkan dalam laporannya,”pesan kesalahan verbose dalam satu komponen, fitur yang dapat disalahgunakan di server utama adalah semua yang diperlukan untuk membuat jalur menuju kompromi sistem potensial.”Insiden ini berfungsi sebagai pengingat yang jelas bahwa bahkan fitur yang dirancang untuk kinerja dapat memperkenalkan risiko keamanan yang tidak terduga jika tidak diimplementasikan dengan pemeriksaan validasi yang ketat.
Pengungkapan dan mitigasi yang bertanggung jawab
Proses pengungkapan mengikuti praktik terbaik industri. Wiz Research melaporkan rantai kerentanan ke NVIDIA pada 15 Mei 2025, dengan NVIDIA mengakui laporan pada hari berikutnya. Kolaborasi ini memungkinkan respons terkoordinasi, yang berpuncak pada rilis patch 4 Agustus.
Nvidia telah menugaskan tiga pengidentifikasi untuk kekurangan: CVE-2025-23319, CVE-2025-23320, dan CVE-2025-23334. Perusahaan sangat menyarankan semua pengguna untuk Peningkatan NVIDIA TRITON INFERENSI dan Python backend ke versi 25.07 untuk Mitvidia THE STRITON OFFERENSI PITIP/PYTHON. Tidak mengetahui adanya eksploitasi aktif dari kerentanan ini di alam liar. Namun, pengungkapan publik dari detail teknis berarti bahwa penyerang dapat segera mencoba untuk mereplikasi eksploitasi, menjadikan penambalan segera menjadi prioritas kritis bagi semua pengguna Triton.