FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述

高性能大语言模型（LLM）推理服务框架vLLM近日曝出高危安全漏洞（编号CVE-2025-32444），该漏洞CVSS评分达到满分10分，可能通过Mooncake集成组件引发远程代码执行（RCE）风险。作为GitHub上获得46,000星标的热门开源项目，vLLM凭借其卓越的速度和灵活性，被广泛应用于学术研究与企业级AI系统。随着大语言模型在各行业的快速普及，模型服务栈的安全性显得尤为重要。

技术细节

该漏洞源于vLLM框架中Mooncake集成组件对网络序列化数据的处理机制。具体而言，组件通过不安全的ZeroMQ套接字传输数据时，错误地使用了Python的pickle模块进行反序列化操作。漏洞核心位于vllm/vllm/distributed/kv_transfer/kv_pipe/mooncake_pipe.py文件中的recv_pyobj()函数，该函数隐式调用pickle.loads()处理通过ZeroMQ套接字接收的数据。

影响范围

此漏洞影响所有使用Mooncake集成组件且版本号≥0.6.5的vLLM实例。需要特别说明的是，若vLLM部署未启用Mooncake组件进行分布式键值传输，则不受此特定漏洞影响。

修复方案

vLLM开发团队已紧急发布v0.8.5版本修复该漏洞。安全专家强烈建议所有受影响用户立即升级至该版本，以消除远程代码执行风险。

（注：已按规范删除原文末"相关阅读"、"支持我们"等非正文内容，并优化了段落结构）

参考来源：

CVE-2025-32444 (CVSS 10): Critical RCE Flaw in vLLM’s Mooncake Integration Exposes AI Infrastructure

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）