nvidiaは、セキュリティ会社のWiz Researchが認証されていない攻撃者がAIシステムを完全に制御できるようにする可能性のある一連の欠陥を発見した後、Triton Inference Serverに重大な脆弱性チェーンにパッチを当てました。エクスプロイトにより、リモートコード実行(RCE)が可能になり、人気のあるAIモデルをサービングするプラットフォームに依存する組織に深刻なリスクが生じます。
攻撃の成功は、独自のAIモデルの盗難、機密データの露出、またはAI生成された応答の操作につながる可能性があります。 Wiz Researchは、8月4日、同じ日にエクスプロイトを詳述しました。 TensorflowやPytorchなどのフレームワークをサポートするAIモデルの大規模。攻撃の洗練は、マイナーな欠陥から完全なシステムの妥協までのエスカレーションにあり、現代のAIインフラストラクチャが直面している複雑なセキュリティの課題を強調しています。 Triton Serverは、AIを展開するための基礎となり、何千もの企業がモデルを効率的に提供できるようにしました。その普遍的なデザインは人気の鍵ですが、この広範な採用は、ソースでAIワークロードを妥協しようとする攻撃者にとっても価値の高いターゲットになります。 href=”https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server”target=”_ blank”> Wiz Researchによって発見された研究者は、細工された大規模な要求を送信することで、攻撃者が例外をトリガーできることを発見しました。このエラーは、バックエンドの内部IPC共有メモリ領域の完全で一意の名前を不適切に返します。
このリークされた名前が重要です。 Python BackendのCore C ++ロジックは、プロセス間通信(IPC)を介したモデル実行のための個別の「スタブ」プロセスと通信します。このIPCは、高速データ転送のために指定された共有メモリ領域に依存しており、その名前はプライベートを維持することを目的としています。
このリークされたキーを使用すると、攻撃者はTritonのパブリックフェイス共有メモリAPIを悪用できます。この機能はパフォーマンス用に設計されていますが、検証の欠如は攻撃のベクトルになります。 APIは、提供されたキーが合法的なユーザーリージョンまたはプライベートな内部領域に対応するかどうかを確認しません。
この監視により、攻撃者はサーバーの内部メモリを独自のものとして登録し、強力な読み取りおよび書き込みアクセスを許可します。そこから、RCEを達成することは、破損したデータ構造へのこのアクセスを活用するか、プロセス間通信(IPC)メッセージを操作して任意のコードを実行する問題です。 Wizの研究者が説明したように、「連鎖した場合、これらの欠陥は、リモートで認識されていない攻撃者がサーバーの完全な制御を獲得し、リモートコード実行(RCE)を達成できる可能性があります。」この機能は、単純なデータの盗難を超えて、AI駆動型サービスの積極的な妨害に移行します。
AIモデルの盗難は大きな財政的脅威です。これらの資産は、数百万ドルの研究、開発、トレーニングコストを表すことができます。競合他社や敵にそれらを失うことは、被害者組織に壊滅的なビジネス上の結果をもたらす可能性があります。
攻撃者は、メンシャルなデータを処理したり、モデル出力を操作して悪意のあるまたは偏った結果を生み出すこともできます。侵害されたサーバーは、企業ネットワーク内の横方向の動きのためのビーチヘッドとして機能する可能性があります。Wizが述べたように、「これはAI/MLにTritonを使用している組織に重大なリスクをもたらします。攻撃の成功は貴重なAIモデルの盗難につながる可能性があるため、この発見はAIサプライチェーンを確保することの重要性の増加を強調しています。 Wiz Researchがレポートで結論付けたように、「単一のコンポーネントでの冗長エラーメッセージ。メインサーバーで誤用できる機能は、潜在的なシステム妥協へのパスを作成するために必要なすべてでした。」このインシデントは、パフォーマンス向けに設計された機能でさえ、厳密な検証チェックで実装されていない場合、予期せぬセキュリティリスクを導入できるという厳しいリマインダーとして機能します。 Wiz Researchは、2025年5月15日にNvidiaに脆弱性チェーンを報告し、Nvidiaは翌日に報告書を認めました。このコラボレーションにより、8月4日のパッチリリースで頂点に達した協調的な応答が可能になりました。同社は、すべてのユーザーに nvidia triton inference serverとpython back to version 25.07 to fert bid the nvtig
<> f fort birgenに強くアドバイスしています。野生におけるこれらの脆弱性の積極的な搾取を認識していないと述べた。ただし、技術的な詳細の一般公開は、攻撃者がすぐにエクスプロイトを再現しようとすることを意味し、すべてのTritonユーザーにとって即時のパッチを上げることができることを意味します。