FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

NVIDIA近日发布重要安全更新，修复其开源项目Megatron-LM（一个广泛应用于AI研究和企业环境的大型语言模型框架）中存在的多个高危漏洞。

漏洞概况

此次更新涉及四个高危漏洞（CVE编号），每个漏洞的CVSS基础评分均为7.8分，可能导致代码执行、权限提升、信息泄露和数据篡改等风险：

• CVE-2025-23348：存在于pretrain_gpt脚本中，"攻击者创建的恶意数据可能导致代码注入问题"
• CVE-2025-23349：位于tasks/orqa/unsupervised/nq.py文件，允许攻击者注入恶意代码
• CVE-2025-23353：存在于msdp预处理脚本中，同样可被利用进行代码注入
• CVE-2025-23354：在ensemble_classifier脚本中发现，允许攻击者篡改输入并执行任意代码

潜在影响

这些漏洞可能使攻击者能够入侵运行Megatron-LM的AI工作流程，在处理敏感数据的研究和生产环境中尤其危险。像Megatron-LM这样的AI框架通常运行在高性能计算（HPC）环境中，处理大量敏感训练数据和知识产权。攻击者向这些工作流程注入恶意代码的能力可能产生连锁反应，从窃取模型数据到破坏训练过程。

影响范围与修复建议

这些漏洞影响Windows、Linux和macOS平台上所有低于0.13.1和0.12.3版本的Megatron-LM。NVIDIA强烈建议用户立即应用更新。

参考来源：

NVIDIA Patches High-Severity Code Injection Flaws in Megatron-LM AI Framework

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）