Nvidia har lappet en kritisk sårbarhetskjede i sin Triton Inference-server etter at sikkerhetsfirmaet Wiz Research oppdaget en serie feil som kan tillate uauthentiserte angripere å ta full kontroll over AI-systemer. Utnyttelsen muliggjør ekstern kodeutførelse (RCE), og skaper en alvorlig risiko for organisasjoner som er avhengige av den populære AI-modell-serveringsplattformen.
Et vellykket angrep kan føre til tyveri av proprietære AI-modeller, eksponering av sensitive data eller manipulering av AI-genererte svar. Wiz Research detaljerte utnyttelsen 4. august, samme dag nvidia rele AI-modeller i skala, som støtter rammer som Tensorflow og Pytorch. Angrepets sofistikering ligger i dens opptrapping fra en mindre feil til et fullt systemkompromiss, og fremhever de komplekse sikkerhetsutfordringene som moderne AI-infrastruktur står overfor.
fra informasjonslekkasje til ekstern kodeutførelse
angrepskjeden, oppdaget av wiz forskning, begynner i serverens populære python backend. Forskere fant at ved å sende en laget, stor forespørsel, kunne en angriper utløse et unntak. Denne feilen returnerer feil, unike navn på backends interne IPC-delte minneområde.
Dette lekkede navnet er nøkkelen. Python Backends Core C ++-logikk kommuniserer med en egen”stub”-prosess for modellutførelse via interprosess-kommunikasjon (IPC). Denne IPC er avhengig av et navngitt delt minneområde for høyhastighetsdataoverføring, og navnet er ment å forbli privat.
Med denne lekkede nøkkelen kan en angriper misbruke Tritons offentlig vendte delte minne-API. Denne funksjonen er designet for ytelse, men mangelen på validering blir en vektor for angrep. API-ene sjekker ikke om en angitt tast tilsvarer et legitimt brukerregion eller et privat, internt.
Dette tilsynet lar en angriper registrere serverens interne minne som sitt eget, og gir dem kraftige lese-og skrivetilgang. Derfra er det å oppnå RCE et spørsmål om å utnytte denne tilgangen til korrupte datastrukturer eller manipulere meldinger mellom prosesser mellom prosesser for å utføre vilkårlig kode.
Kritiske risikoer til AI-infrastruktur
implikasjonene av en vellykket utnyttelse er alvorlig. Som Wiz-forskere forklarte:”Når de er lenket sammen, kan disse feilene potensielt tillate en ekstern, uauthentisert angriper å få full kontroll over serveren, oppnå ekstern kodeutførelse (RCE).”Denne muligheten beveger seg utover enkle datatyverier og til aktiv sabotasje av AI-drevne tjenester.
Tyveri av AI-modeller er en betydelig økonomisk trussel. Disse eiendelene kan representere millioner av dollar innen forsknings-, utviklings-og opplæringskostnader. Å miste dem til en konkurrent eller motstander kan ha ødeleggende forretningsmessige konsekvenser for offerorganisasjonen.
Angripere kan også avskjære sensitive data som blir behandlet eller manipulere modellutganger for å gi ondsinnede eller partiske resultater. En kompromittert server kan fungere som et strandhode for sidebevegelse i et bedriftsnettverk, som Wiz bemerket, “Dette utgjør en kritisk risiko for organisasjoner som bruker Triton for AI/ML, ettersom et vellykket angrep kan føre til tyveri av verdifulle AI-modeller…”
Dette oppdagelsen understreker den økende viktigheten av å sikre AI. Som Wiz Research konkluderte i rapporten,”En ordrisk feilmelding i en enkelt komponent, en funksjon som kan misbrukes på hovedserveren var alt som trengs for å skape en vei til potensielt systemkompromiss.”Hendelsen fungerer som en sterk påminnelse om at til og med funksjoner designet for ytelse kan introdusere uforutsette sikkerhetsrisiko hvis ikke implementert med strenge valideringskontroller.
Ansvarlig avsløring og avbøtning
Disponser-prosessen fulgte bransjens beste praksis. Wiz Research rapporterte sårbarhetskjeden til Nvidia 15. mai 2025, med Nvidia som erkjente rapporten dagen etter. Dette samarbeidet muliggjorde et koordinert respons, og kulminerte med utgivelsen 4. august.
Nvidia har tildelt tre identifikatorer til feilene: CVE-2025-23319, CVE-2025-23320 og CVE-2025-23334. Selskapet råder sterkt alle brukere til å Oppgradering både Nvidia Triton Inference-serveren. uttalte at det ikke er klar over noen aktiv utnyttelse av disse sårbarhetene i naturen. Imidlertid betyr offentlig avsløring av de tekniske detaljene at angripere snart kan forsøke å gjenskape utnyttelsen, noe som gjør øyeblikkelig lapping av en kritisk prioritering for alle Triton-brukere.