Nvidia ha patchato una catena di vulnerabilità critica nel suo server di inferenza di Triton dopo che la società di sicurezza Wiz Research ha scoperto una serie di difetti che potrebbero consentire agli aggressori non autenticati di assumere il controllo completo dei sistemi di intelligenza artificiale. L’exploit abilita l’esecuzione del codice remoto (RCE), creando un grave rischio per le organizzazioni che si basano sulla popolare piattaforma di serratura dei modelli di AI.
Un attacco di successo potrebbe portare al furto di modelli di AI proprietari, all’esposizione dei dati sensibili o alla manipolazione delle risposte generate dall’IA. La ricerca Wiz ha dettagliato lo sfruttamento il 4 agosto, lo stesso giorno nvidia ha rilasciato un bollettino di sicurezza e ha sollecitato tutti gli utenti per aggiornare i loro sistemi immediatamente. Modelli di AI su larga scala, supportando quadri come Tensorflow e Pytorch. La raffinatezza dell’attacco risiede nella sua escalation da un lieve difetto a un compromesso del sistema completo, evidenziando le complesse sfide di sicurezza che affrontano la moderna infrastruttura di AI. Il server è diventato una pietra miliare per la distribuzione dell’IA, consentendo a migliaia di aziende di servire i modelli in modo efficiente. Il suo design universale è la chiave per la sua popolarità, ma questa diffusa adozione lo rende anche un bersaglio di alto valore per gli aggressori che cercano di compromettere i carichi di lavoro AI nella loro fonte. href=”https://www.wiz.io/blog/nvidia-riton-cve-2025-233319-vuln-chain-to-ai-server”target=”_ blank”> scoperto da Wiz Research, Inizia nel popolare backend di Python del server. I ricercatori hanno scoperto che inviando una richiesta di grande e artigianale, un aggressore potrebbe innescare un’eccezione. Questo errore restituisce erroneamente il nome completo e univoco della regione di memoria condivisa IPC interna del backend.
Questo nome trapelato è la chiave. La logica C ++ core del backend di Python comunica con un processo”stub”separato per l’esecuzione del modello tramite comunicazione inter-Process (IPC). Questo IPC si basa su una regione di memoria condivisa denominata per il trasferimento di dati ad alta velocità e il suo nome è pensato per rimanere privato.
Con questa chiave trapelata, un aggressore può abusare dell’API di memoria condivisa rivolta al pubblico di Triton. Questa funzione è progettata per le prestazioni, ma la sua mancanza di validazione diventa un vettore per l’attacco. L’API non controlla se una chiave fornita corrisponde a una regione utente legittima o a una privata, interna.
Questa supervisione consente a un utente malintenzionato di registrare la memoria interna del server come propria, concedendo loro un potente accesso di lettura e scrittura. Da lì, raggiungere RCE è una questione di sfruttare questo accesso a strutture di dati corrotte o manipolare i messaggi di comunicazione inter-Process (IPC) per eseguire il codice arbitrario.
Rischi critici per l’infrastruttura AI
Le implicazioni di uno sfruttamento di successo sono gravi. Come hanno spiegato i ricercatori di Wiz, “Quando sono incatenati, questi difetti possono potenzialmente consentire a un utente malintenzionato remoto e non autenticato di ottenere il controllo completo del server, raggiungendo l’esecuzione del codice remoto (RCE).”Questa capacità va oltre il semplice furto di dati e nel sabotaggio attivo dei servizi guidati dall’IA.
Il furto dei modelli AI è una minaccia finanziaria significativa. Queste attività possono rappresentare milioni di dollari nei costi di ricerca, sviluppo e formazione. Perdere loro con un concorrente o un avversario potrebbe avere conseguenze commerciali devastanti per l’organizzazione delle vittime.
Gli aggressori potrebbero anche intercettare i dati sensibili da elaborare o manipolare risultati del modello per produrre risultati dannosi o distorti. Un server compromesso può fungere da beachhead per il movimento laterale all’interno di una rete aziendale, come ha osservato Wiz,”Ciò rappresenta un rischio critico per le organizzazioni usando Triton per AI/ML, poiché un attacco di successo potrebbe portare al furto di preziosi modelli di AI…”
Questa scoperta sottolinea la crescente importanza di proteggere la catena di approvvigionamento AI. Come ha concluso Wiz Research nel suo rapporto,”un messaggio di errore verbosio in un singolo componente, una funzione che può essere utilizzata in modo improprio nel server principale è stato tutto ciò che serve per creare un percorso per un potenziale compromesso del sistema”. L’incidente funge da netto promemoria che anche le funzionalità progettate per le prestazioni possono introdurre rischi di sicurezza imprevisti se non implementati con rigorosi controlli di convalida.
Divulgazione responsabile e mitigazione
Il processo di divulgazione ha seguito le migliori pratiche del settore. Wiz Research ha riportato la catena di vulnerabilità a Nvidia il 15 maggio 2025, con Nvidia che ha riconosciuto il rapporto il giorno successivo. Questa collaborazione ha consentito una risposta coordinata, culminando nel rilascio della patch del 4 agosto.
Nvidia ha assegnato tre identificatori ai difetti: CVE-2025-23319, CVE-2025-23320 e CVE-2025-23334. La società consiglia vivamente a tutti gli utenti di aggiorna sia il nvidia tritone di inferenza e il backend di Python alla versione 25.07 per la minaccia