FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现了一系列影响主流人工智能（AI）推理引擎的关键远程代码执行漏洞，涉及Meta、Nvidia、微软等厂商以及vLLM、SGLang等开源PyTorch项目。

Oligo Security研究员Avi Lumelsky在周四发布的报告中指出："这些漏洞均源于相同根本原因——对ZeroMQ（ZMQ）和Python pickle反序列化的不安全使用被长期忽视。"该问题本质上源于一种名为ShadowMQ的模式，由于代码复用导致不安全的反序列化逻辑在多个项目中传播。

漏洞根源是Meta Llama大语言模型（LLM）框架（CVE-2024-50050，CVSS评分：6.3/9.3）存在的缺陷，该公司已于去年10月修复。具体而言，该框架使用ZeroMQ的recv_pyobj()方法通过Python pickle模块反序列化传入数据，加之ZeroMQ套接字暴露在网络中，使得攻击者可通过发送恶意数据进行反序列化来执行任意代码。pyzmq Python库也已修复该问题。

漏洞波及多款主流框架

Oligo随后在NVIDIA TensorRT-LLM、Microsoft Sarathi-Serve、Modular Max Server、vLLM和SGLang等其他推理框架中发现相同模式。Lumelsky表示："这些框架均包含几乎相同的不安全模式——通过未经认证的ZMQ TCP套接字进行pickle反序列化。不同公司维护的项目竟犯下相同错误。"

追溯问题根源发现，至少部分案例源于直接复制粘贴代码。例如SGLang中的漏洞文件标注其改编自vLLM，而Modular Max Server则同时从vLLM和SGLang借鉴了相同逻辑，导致缺陷在代码库间持续传播。

漏洞编号及修复状态

• CVE-2025-30165（CVSS评分：8.0）- vLLM（虽未彻底修复，但已通过默认切换至V1引擎缓解）
• CVE-2025-23254（CVSS评分：8.8）- NVIDIA TensorRT-LLM（0.18.2版本已修复）
• CVE-2025-60455（CVSS评分：未公布）- Modular Max Server（已修复）
• Sarathi-Serve（仍未修补）
• SGLang（实施了不完整修复）

潜在危害与行业警示

作为AI基础设施的核心组件，推理引擎一旦被攻陷，攻击者可在集群上执行任意代码、提升权限、窃取模型，甚至部署加密货币挖矿程序等恶意负载牟利。Lumelsky警告："项目开发速度惊人，借鉴同行架构组件已成常态。但当代码复用包含不安全模式时，后果会迅速扩散。"

相关安全事件

AI安全平台Knostic最新报告显示，攻击者可通过JavaScript注入技术入侵Cursor内置浏览器，甚至利用恶意扩展实现JavaScript注入以控制开发者工作站。首例攻击通过注册恶意本地Model Context Protocol（MCP）服务器，绕过Cursor控制机制将浏览器登录页面替换为窃取凭证的伪造页面。

安全研究员Dor Munis解释："用户下载运行MCP服务器后，利用Cursor内的mcp.json文件向浏览器注入代码，诱导用户访问虚假登录页面窃取凭证。"由于这款AI代码编辑器本质是Visual Studio Code的分支，攻击者还可制作恶意扩展向运行中的IDE注入JavaScript，执行包括将无害Open VSX扩展标记为"恶意"等任意操作。

Knostic强调："Node.js解释器中运行的JavaScript（无论通过扩展、MCP服务器还是污染提示引入）将立即继承IDE权限：包括完整文件系统访问、修改IDE功能的能力，以及重启后仍保持驻留的代码植入能力。一旦获得解释器级执行权限，攻击者可将IDE转变为恶意软件分发平台。"

防护建议

用户应当：

1. 禁用IDE自动运行功能
2. 严格审查扩展程序
3. 仅从可信开发者和仓库安装MCP服务器
4. 监控服务器访问的数据和API
5. 使用最小权限API密钥
6. 对关键集成的MCP服务器源代码进行审计

参考来源：

Researchers Find Serious AI Bugs Exposing Meta, Nvidia, and Microsoft Inference Frameworks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）