一波未平，一波又起。

英偉達(dá)Triton推理服務(wù)器，被安全研究機構(gòu)Wiz Research曝光了一組高危漏洞鏈。

這組漏洞可以被組合利用，實現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE），攻擊者可以讀取或篡改共享內(nèi)存中的數(shù)據(jù)，操縱模型輸出，控制整個推理后端的行為。

可能造成的后果包括模型被盜、數(shù)據(jù)泄露、響應(yīng)操縱，乃至系統(tǒng)失控。

目前，英偉達(dá)已經(jīng)發(fā)布補丁，但所有25.07版本之前的系統(tǒng)都處于裸奔狀態(tài)，用戶需要將Triton Inference Server更新到最新版本。

一處漏洞，牽一發(fā)而動全身

這次的漏洞鏈危害有多大呢？

據(jù)Wiz表示，該漏洞鏈可能允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者控制英偉達(dá)Triton推理服務(wù)器，進(jìn)而可能導(dǎo)致以下一連串的嚴(yán)重后果：

首先，是模型被盜（Model Theft），攻擊者可以通過精確定位共享內(nèi)存區(qū)域，竊取專用且昂貴的人工智能模型。

其次，是數(shù)據(jù)泄露（Data Breach），一旦控制了模型運行時的內(nèi)存，攻擊者就能實時讀取模型輸入輸出，截取模型處理過程中涉及的敏感數(shù)據(jù)（例如用戶信息或財務(wù)數(shù)據(jù)）。

再往后，是響應(yīng)被操縱（Response Manipulation），攻擊者不僅能讀，還能寫。他們可以操縱AI模型的輸出，使其產(chǎn)生錯誤、有偏見或惡意的回應(yīng)。

最后，是橫向移動（Pivoting）導(dǎo)致的系統(tǒng)失控，攻擊者利用已經(jīng)被攻陷的服務(wù)器，作為跳板，進(jìn)一步攻擊該組織網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)。

可以說，一個Triton漏洞就足以摧毀一個AI平臺的四大支柱：模型、數(shù)據(jù)、輸出、系統(tǒng)。

什么漏洞，居然這么危險？

這次的漏洞鏈由三個漏洞組成：

CVE-2025-23320：當(dāng)攻擊者發(fā)送一個超大請求超出共享內(nèi)存限制時，會觸發(fā)異常，返回的錯誤信息會暴露后端內(nèi)部IPC（進(jìn)程間通信）共享內(nèi)存區(qū)的唯一標(biāo)識符（key）。

CVE-2025-23319：利用上述標(biāo)識符，攻擊者可執(zhí)行越界寫入（out-of-bounds write）。

CVE-2025-23334：利用標(biāo)識符可實現(xiàn)越界讀（out-of-bounds read）。

這三個漏洞環(huán)環(huán)相扣，構(gòu)成了完整的攻擊鏈條:

首先，攻擊者借助CVE-2025-23320的錯誤信息泄露漏洞，獲取Triton Python后端內(nèi)部共享內(nèi)存的唯一標(biāo)識符。

當(dāng)掌握了這個標(biāo)識符后，攻擊者便可利用CVE-2025-23319和CVE-2025-23334兩個漏洞，對該共享內(nèi)存區(qū)域進(jìn)行越界寫入和越界讀取操作。

具體來說，攻擊者通過濫用共享內(nèi)存API，不受限制地讀寫后端內(nèi)部的內(nèi)存數(shù)據(jù)結(jié)構(gòu)。

最后，在獲得對后端共享內(nèi)存的讀寫權(quán)限后，攻擊者能夠干擾服務(wù)器正常行為，進(jìn)而實現(xiàn)對服務(wù)器的完全控制。

可能的攻擊方式包括但不限于：

• 破壞后端共享內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)，尤其是包含指針的結(jié)構(gòu)（如 MemoryShm、SendMessageBase），從而實現(xiàn)越界讀寫。
• 偽造和操控 IPC 消息隊列中的消息，造成本地內(nèi)存破壞或邏輯漏洞利用。

從最初的信息泄露，升級至全面的系統(tǒng)入侵，這一“完美”的的攻擊路徑在很大程度上就和Triton的架構(gòu)有關(guān)。

通用是一把雙刃劍

雖然這次漏洞集中在Triton的Python后端，但“Python后端”并不是專供Python框架調(diào)用的。

英偉達(dá)的Triton是一個通用的推理平臺，它設(shè)計的目的是幫助開發(fā)者簡化AI模型在各種框架（比如 PyTorch、TensorFlow、ONNX）上的部署和運行。

為了實現(xiàn)這一點，Triton采用了模塊化的后端架構(gòu)，每個后端負(fù)責(zé)執(zhí)行對應(yīng)框架的模型。

當(dāng)一個推理請求到來時，Triton會自動識別模型所屬的框架，并將請求發(fā)送給對應(yīng)的后端執(zhí)行。

然而，在推理的不同階段，即便模型主要運行在某個后端（比如PyTorch后端），也可能會在內(nèi)部調(diào)用Python后端完成某些任務(wù)。

換句話說，哪怕主模型在TensorFlow或PyTorch上運行，但只要流程中包含定制環(huán)節(jié)，Python后端就有可能被調(diào)入執(zhí)行。

所以，Python后端并不僅僅服務(wù)于Python框架的模型，而是被更廣泛地用在Triton的推理流程中，這也使得它成為一個潛在的安全薄弱點，影響范圍更大。

此外，Triton Python后端的核心邏輯是用C++實現(xiàn)的，

當(dāng)有推理請求到來時，這個C++組件會與一個單獨的“stub”（存根）進(jìn)程通信，后者負(fù)責(zé)加載并執(zhí)行具體的模型代碼。

為了讓C++邏輯和stub進(jìn)程之間順利交流，Python后端采用了復(fù)雜的進(jìn)程間通信（IPC）機制，用于推理數(shù)據(jù)傳輸和內(nèi)部操作協(xié)調(diào)。

這個IPC基于命名共享內(nèi)存（通常是/dev/shm路徑下的共享內(nèi)存區(qū)域），每個共享內(nèi)存區(qū)都有唯一的系統(tǒng)路徑標(biāo)識符，也就是我們上面說到的標(biāo)識符key。

這樣的設(shè)計可以實現(xiàn)高速的數(shù)據(jù)交換，但也帶來了一個關(guān)鍵的安全隱患：共享內(nèi)存名稱的安全性和隱私保護(hù)非常重要，一旦名稱泄露，就可能被攻擊者利用。

綜上，通用平臺正因為靈活，反而卻成為了安全命門，即所謂一處漏洞，牽一發(fā)而動全身。

幸運的是，雖然漏洞鏈殺傷力巨大，但目前還只停留在實驗室里，尚未被發(fā)現(xiàn)用于實際攻擊。

在接到Wiz Research的報告后，英偉達(dá)也是火速修復(fù)了這三個漏洞，并發(fā)布了更新后的Triton Inference Server 25.07版本。

只能說，漏洞這種事，還是被自己人先發(fā)現(xiàn)更安心。