Nvidia Triton 服务器 RCE：Python 后端链式漏洞曝光

安全研究人员在Nvidia的Triton推理服务器中发现了一系列高危漏洞，这些漏洞一旦被连续利用，可能导致系统彻底沦陷。这些缺陷由Wiz Research详细披露并报告给Nvidia，促使Nvidia发布了补丁。

成功利用这些漏洞可能导致严重后果，包括窃取宝贵的AI模型、敏感数据泄露、AI模型响应被操纵，以及攻击者获得立足点，从而更深入地渗透到组织的网络中。

Nvidia的Triton推理服务器是一个开源平台，旨在高效运行并为面向用户的应用程序提供来自各种主要AI框架的AI模型服务。它通过不同的“后端”实现这种灵活性，每个后端都针对特定框架量身定制。该服务器的Python后端尤其通用，不仅支持基于Python的模型，还被其他框架利用。Python后端被广泛依赖，这意味着其内部的任何安全弱点都可能影响大量使用Triton的组织。

漏洞利用链始于第一个漏洞，即CVE-2025-23320（严重性评分为7.5）。此缺陷存在于Python后端中，可通过发送一个超出共享内存限制的超大请求来触发。当这种情况发生时，服务器会生成一条错误消息，无意中泄露后端内部进程间通信（IPC）共享内存区域的唯一名称或密钥。

有了这一关键信息，攻击者便可利用公共共享内存API来控制Triton推理服务器。该API存在验证不足的问题，使其容易受到边界外写入和读取漏洞的影响，分别被追踪为CVE-2025-23319（严重性8.1）和CVE-2025-23334（严重性5.9）。该API未能正确验证攻击者提供的密钥（即使是第一个缺陷中获得的唯一共享内存名称）是否对应于合法的用户拥有内存区域或私有内部区域。这一疏忽允许Triton接受攻击者注册端点的请求，从而授予他们对该内存区域的未经授权的读写访问权限。通过操纵后端的共享内存，攻击者最终可以完全控制服务器。

Wiz Research尚未表明这串漏洞是否已在实际攻击中被利用，并表示他们目前正在保留更多细节。

研究团队强调了他们发现的重要性，指出：“这项研究表明，一系列看似微小的缺陷如何能够被串联起来，从而形成一个重大的漏洞。”他们补充说，一个冗长的错误消息与主服务器中一个可能被滥用的功能相结合，足以创建一条通向潜在系统入侵的路径。“随着公司更广泛地部署AI和ML，保护底层基础设施至关重要，”该团队表示，强调了深度防御策略的关键重要性，即在应用程序的每一层都考虑安全性。

Nvidia已确认所有三个安全漏洞均已在8月4日发布的Triton推理服务器25.07版本中得到解决。所有以前的版本都存在漏洞。Wiz Research对Nvidia安全团队的“出色合作和迅速响应”表示感谢，并强烈建议所有Triton推理服务器用户立即更新到最新版本以缓解这些风险。

Triton推理服务器多年来已被各种规模的组织广泛采用。今年早些时候，Nvidia推出了Dynamo，并将其定位为Triton的继任者。