近日，英偉達(dá) Triton 推理服務(wù)器被安全研究機(jī)構(gòu) Wiz Research 曝光了一組高危漏洞鏈。

這組漏洞可以被組合利用，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE），攻擊者可以讀取或篡改共享內(nèi)存中的數(shù)據(jù)，操縱模型輸出，控制整個(gè)推理后端的行為。

可能造成的后果包括模型被盜、數(shù)據(jù)泄露、響應(yīng)操縱，乃至系統(tǒng)失控。

目前，英偉達(dá)已經(jīng)發(fā)布補(bǔ)丁，但所有 25.07 版本之前的系統(tǒng)都處于裸奔狀態(tài)，用戶需要將 Triton Inference Server 更新到最新版本。

一處漏洞，牽一發(fā)而動(dòng)全身

這次的漏洞鏈危害有多大呢？

據(jù) Wiz 表示，該漏洞鏈可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者控制英偉達(dá) Triton 推理服務(wù)器，進(jìn)而可能導(dǎo)致以下一連串的嚴(yán)重后果：

首先，是模型被盜（Model Theft），攻擊者可以通過精確定位共享內(nèi)存區(qū)域，竊取專用且昂貴的人工智能模型。

其次，是數(shù)據(jù)泄露（Data Breach），一旦控制了模型運(yùn)行時(shí)的內(nèi)存，攻擊者就能實(shí)時(shí)讀取模型輸入輸出，截取模型處理過程中涉及的敏感數(shù)據(jù)（例如用戶信息或財(cái)務(wù)數(shù)據(jù)）。

再往后，是響應(yīng)被操縱（Response Manipulation），攻擊者不僅能讀，還能寫。他們可以操縱 AI 模型的輸出，使其產(chǎn)生錯(cuò)誤、有偏見或惡意的回應(yīng)。

最后，是橫向移動(dòng)（Pivoting）導(dǎo)致的系統(tǒng)失控，攻擊者利用已經(jīng)被攻陷的服務(wù)器，作為跳板，進(jìn)一步攻擊該組織網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)。

可以說，一個(gè) Triton 漏洞就足以摧毀一個(gè) AI 平臺(tái)的四大支柱：模型、數(shù)據(jù)、輸出、系統(tǒng)。

什么漏洞，居然這么危險(xiǎn)？

這次的漏洞鏈由三個(gè)漏洞組成：

CVE-2025-23320：當(dāng)攻擊者發(fā)送一個(gè)超大請求超出共享內(nèi)存限制時(shí)，會(huì)觸發(fā)異常，返回的錯(cuò)誤信息會(huì)暴露后端內(nèi)部 IPC（進(jìn)程間通信）共享內(nèi)存區(qū)的唯一標(biāo)識(shí)符（key）。

CVE-2025-23319：利用上述標(biāo)識(shí)符，攻擊者可執(zhí)行越界寫入（out-of-bounds write）。

CVE-2025-23334：利用標(biāo)識(shí)符可實(shí)現(xiàn)越界讀（out-of-bounds read）。

這三個(gè)漏洞環(huán)環(huán)相扣，構(gòu)成了完整的攻擊鏈條:

首先，攻擊者借助 CVE-2025-23320 的錯(cuò)誤信息泄露漏洞，獲取 Triton Python 后端內(nèi)部共享內(nèi)存的唯一標(biāo)識(shí)符。

當(dāng)掌握了這個(gè)標(biāo)識(shí)符后，攻擊者便可利用 CVE-2025-23319 和 CVE-2025-23334 兩個(gè)漏洞，對該共享內(nèi)存區(qū)域進(jìn)行越界寫入和越界讀取操作。

具體來說，攻擊者通過濫用共享內(nèi)存 API，不受限制地讀寫后端內(nèi)部的內(nèi)存數(shù)據(jù)結(jié)構(gòu)。

最后，在獲得對后端共享內(nèi)存的讀寫權(quán)限后，攻擊者能夠干擾服務(wù)器正常行為，進(jìn)而實(shí)現(xiàn)對服務(wù)器的完全控制。

可能的攻擊方式包括但不限于：

– 破壞后端共享內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)，尤其是包含指針的結(jié)構(gòu)（如 MemoryShm、SendMessageBase），從而實(shí)現(xiàn)越界讀寫。

– 偽造和操控 IPC 消息隊(duì)列中的消息，造成本地內(nèi)存破壞或邏輯漏洞利用。

從最初的信息泄露，升級(jí)至全面的系統(tǒng)入侵，這一“完美”的的攻擊路徑在很大程度上就和 Triton 的架構(gòu)有關(guān)。

通用是一把雙刃劍

雖然這次漏洞集中在 Triton 的 Python 后端，但“Python 后端”并不是專供 Python 框架調(diào)用的。

英偉達(dá)的 Triton 是一個(gè)通用的推理平臺(tái)，它設(shè)計(jì)的目的是幫助開發(fā)者簡化 AI 模型在各種框架（比如 PyTorch、TensorFlow、ONNX）上的部署和運(yùn)行。

為了實(shí)現(xiàn)這一點(diǎn)，Triton 采用了模塊化的后端架構(gòu)，每個(gè)后端負(fù)責(zé)執(zhí)行對應(yīng)框架的模型。

當(dāng)一個(gè)推理請求到來時(shí)，Triton 會(huì)自動(dòng)識(shí)別模型所屬的框架，并將請求發(fā)送給對應(yīng)的后端執(zhí)行。

然而，在推理的不同階段，即便模型主要運(yùn)行在某個(gè)后端（比如 PyTorch 后端），也可能會(huì)在內(nèi)部調(diào)用 Python 后端完成某些任務(wù)。

換句話說，哪怕主模型在 TensorFlow 或 PyTorch 上運(yùn)行，但只要流程中包含定制環(huán)節(jié)，Python 后端就有可能被調(diào)入執(zhí)行。

所以，Python 后端并不僅僅服務(wù)于 Python 框架的模型，而是被更廣泛地用在 Triton 的推理流程中，這也使得它成為一個(gè)潛在的安全薄弱點(diǎn)，影響范圍更大。

此外，Triton Python 后端的核心邏輯是用 C++ 實(shí)現(xiàn)的，

當(dāng)有推理請求到來時(shí)，這個(gè) C++ 組件會(huì)與一個(gè)單獨(dú)的“stub”（存根）進(jìn)程通信，后者負(fù)責(zé)加載并執(zhí)行具體的模型代碼。

為了讓 C++ 邏輯和 stub 進(jìn)程之間順利交流，Python 后端采用了復(fù)雜的進(jìn)程間通信（IPC）機(jī)制，用于推理數(shù)據(jù)傳輸和內(nèi)部操作協(xié)調(diào)。

這個(gè) IPC 基于命名共享內(nèi)存（通常是 / dev / shm 路徑下的共享內(nèi)存區(qū)域），每個(gè)共享內(nèi)存區(qū)都有唯一的系統(tǒng)路徑標(biāo)識(shí)符，也就是我們上面說到的標(biāo)識(shí)符 key。

這樣的設(shè)計(jì)可以實(shí)現(xiàn)高速的數(shù)據(jù)交換，但也帶來了一個(gè)關(guān)鍵的安全隱患：共享內(nèi)存名稱的安全性和隱私保護(hù)非常重要，一旦名稱泄露，就可能被攻擊者利用。

綜上，通用平臺(tái)正因?yàn)殪`活，反而卻成為了安全命門，即所謂一處漏洞，牽一發(fā)而動(dòng)全身。

幸運(yùn)的是，雖然漏洞鏈殺傷力巨大，但目前還只停留在實(shí)驗(yàn)室里，尚未被發(fā)現(xiàn)用于實(shí)際攻擊。

在接到 Wiz Research 的報(bào)告后，英偉達(dá)也是火速修復(fù)了這三個(gè)漏洞，并發(fā)布了更新后的 Triton Inference Server 25.07 版本。

只能說，漏洞這種事，還是被自己人先發(fā)現(xiàn)更安心。

• 參考鏈接：
• [1]https://www.theregister.com/2025/08/05/nvidia_triton_bug_chain/
• [2]https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server
• [3]https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html