英伟达服务器被曝高危漏洞，云端 AI 模型被攻击直接裸奔

一波未平，一波又起。

英伟达 Triton 推理服务器，被安全研究机构 Wiz Research 曝光了一组高危漏洞链。

这组漏洞可以被组合利用，实现远程代码执行 （RCE），攻击者可以读取或篡改共享内存中的数据，操纵模型输出，控制整个推理后端的行为。

可能造成的后果包括模型被盗、数据泄露、响应操纵，乃至系统失控。

目前，英伟达已经发布补丁，但所有 25.07 版本之前的系统都处于裸奔状态，用户需要将 Triton Inference Server 更新到最新版本。

一处漏洞，牵一发而动全身

这次的漏洞链危害有多大呢？

据 Wiz 表示，该漏洞链可能允许未经身份验证的远程攻击者控制英伟达 Triton 推理服务器，进而可能导致以下一连串的严重后果：

首先是模型被盗（Model Theft），攻击者可以通过精确定位共享内存区域，窃取专用且昂贵的人工智能模型。

其次是数据泄露（Data Breach），一旦控制了模型运行时的内存，攻击者就能实时读取模型输入输出，截取模型处理过程中涉及的敏感数据 （例如用户信息或财务数据）。

再往后是响应被操纵（Response Manipulation），攻击者不仅能读，还能写。他们可以操纵 AI 模型的输出，使其产生错误、有偏见或恶意的回应。

最后，是横向移动（Pivoting）导致的系统失控，攻击者利用已经被攻陷的服务器，作为跳板，进一步攻击该组织网络内的其他系统。

可以说，一个 Triton 漏洞就足以摧毁一个 AI 平台的四大支柱：模型、数据、输出、系统。

什么漏洞，居然这么危险？

这次的漏洞链由三个漏洞组成：

CVE-2025-23320：当攻击者发送一个超大请求超出共享内存限制时，会触发异常，返回的错误信息会暴露后端内部 IPC（进程间通信）共享内存区的唯一标识符 （key）。

CVE-2025-23319：利用上述标识符，攻击者可执行越界写入 （out-of-bounds write）。

CVE-2025-23334：利用标识符可实现越界读 （out-of-bounds read）。

这三个漏洞环环相扣，构成了完整的攻击链条：

首先，攻击者借助 CVE-2025-23320 的错误信息泄露漏洞，获取 Triton Python 后端内部共享内存的唯一标识符。

当掌握了这个标识符后，攻击者便可利用 CVE-2025-23319 和 CVE-2025-23334 两个漏洞，对该共享内存区域进行越界写入和越界读取操作。

具体来说，攻击者可以通过滥用共享内存 API，不受限制地读写后端内部的内存数据结构。

最后，在获得对后端共享内存的读写权限后，攻击者能够干扰服务器正常行为，进而实现对服务器的完全控制。

可能的攻击方式包括但不限于：

• 破坏后端共享内存中的数据结构，尤其是包含指针的结构 （如 MemoryShm、SendMessageBase），从而实现越界读写。

• 伪造和操控 IPC 消息队列中的消息，造成本地内存破坏或逻辑漏洞利用。

从最初的信息泄露，升级至全面的系统入侵，这一 「完美」 的攻击路径在很大程度上就和 Triton 的架构有关。

通用是一把双刃剑

虽然这次漏洞集中在 Triton 的 Python 后端，但 「Python 后端」 并不是专供 Python 框架调用的。

英伟达的 Triton 是一个通用的推理平台，它设计的目的是帮助开发者简化 AI 模型在各种框架 （比如 PyTorch、TensorFlow、ONNX）上的部署和运行。

为了实现这一点，Triton 采用了模块化的后端架构，每个后端负责执行对应框架的模型。

当一个推理请求到来时，Triton 会自动识别模型所属的框架，并将请求发送给对应的后端执行。

然而，在推理的不同阶段，即便模型主要运行在某个后端 （比如 PyTorch 后端），也可能会在内部调用 Python 后端完成某些任务。

换句话说，哪怕主模型在 TensorFlow 或 PyTorch 上运行，但只要流程中包含定制环节，Python 后端就有可能被调入执行。

所以，Python 后端并不仅仅服务于 Python 框架的模型，而是被更广泛地用在 Triton 的推理流程中，这也使得它成为一个潜在的安全薄弱点，影响范围更大。

此外，Triton Python 后端的核心逻辑是用 C++实现的，

当有推理请求到来时，这个 C++组件会与一个单独的 「stub」（存根）进程通信，后者负责加载并执行具体的模型代码。

为了让 C++逻辑和 stub 进程之间顺利交流，Python 后端采用了复杂的进程间通信（IPC）机制，用于推理数据传输和内部操作协调。

这个 IPC 基于命名共享内存（通常是/dev/shm 路径下的共享内存区域），每个共享内存区都有唯一的系统路径标识符，也就是我们上面说到的标识符 key。

这样的设计可以实现高速的数据交换，但也带来了一个关键的安全隐患：共享内存名称的安全性和隐私保护非常重要，一旦名称泄露，就可能被攻击者利用。

综上，通用平台的灵活性反而使其成为了安全命门，即所谓一处漏洞，牵一发而动全身。

幸运的是，虽然漏洞链杀伤力巨大，但目前还只停留在实验室里，尚未被发现用于实际攻击。

在接到 Wiz Research 的报告后，英伟达火速修复了这三个漏洞，并发布了更新后的 Triton Inference Server 25.07 版本。

只能说，漏洞这种事，还是被自己人先发现更安心。

参考链接：

[1]https://www.theregister.com/2025/08/05/nvidia_triton_bug_chain/

[2]https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server

[3]https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html

本文来自微信公众号：量子位 （ID：QbitAI），作者：henry