ONNX Hub silent=True suppresses all trust verification, enabling supply chain attacks on ML model loading (CVE-2026-28500, CVSS 9.1, no patch available)

ONNX Hub silent=True suppresses all trust verification, enabling supply chain attacks on ML model loading (CVE-2026-28500, CVSS 9.1, no patch available)
好的，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我需要仔细阅读文章内容。文章讲的是ONNX Python库中的一个安全漏洞，CVE-2026-28500。这个漏洞允许绕过安全控制，具体是通过`onnx.hub.load()`函数中的`silent=True`参数来实现的。这个参数会抑制所有信任验证警告和用户确认提示，从而允许从不受信任的仓库静默加载模型。接下来，文章提到设计上的问题：ONNX Hub的完整性验证依赖于从同一个模型仓库获取的SHA256清单。如果攻击者控制了这个仓库，他们就可以同时控制模型文件和完整性清单。这意味着没有独立的信任来源。而`silent=True`参数移除了最后一个安全措施：用户提示警告。影响范围是所有ONNX版本到1.20.1，目前还没有补丁可用。此外，`silent`参数在文档和教程中都有提到，并且在生产管道和CI/CD脚本中被广泛使用，默认情况下会抑制交互式提示。供应链的影响很大，因为ONNX是跨框架的ML模型交换格式。任何使用`silent=True`从外部仓库加载ONNX模型的管道都不会有任何验证提示，并且SHA256检查的信任程度取决于提供清单的仓库。现在我需要把这些信息浓缩到100字以内，并且直接描述内容。重点包括漏洞名称、影响范围、问题原因、参数的作用以及潜在影响。可能的结构是：漏洞名称+问题+影响范围+原因+潜在风险。比如：“CVE-2026-28500为ONNX库的安全绕过漏洞，允许静默加载不受信任模型。设计缺陷使攻击者可控制模型及完整性清单，无独立信任源。该漏洞影响所有版本至1.20.1，无补丁可用。” 这样大约74个字左右，符合要求。 </think> CVE-2026-28500为ONNX库的安全绕过漏洞，允许静默加载不受信任模型。设计缺陷使攻击者可控制模型及完整性清单，无独立信任源。该漏洞影响所有版本至1.20.1，无补丁可用。 2026-3-21 20:56:38 Author: www.reddit.com(查看原文) 阅读量:7 收藏

CVE-2026-28500 is a security control bypass in the ONNX Python library. The 
`onnx.hub.load()`
 function accepts a 
`silent=True`
 parameter that suppresses all trust verification warnings and user confirmation prompts, allowing silent loading of models from untrusted repositories.


The design issue: ONNX Hub's integrity verification relies on a SHA256 manifest that is fetched from the same repository that hosts the models. If an attacker controls or compromises the repository, they control both the model files and the integrity manifests. There is no independent trust anchor. The 
`silent=True`
 parameter removes the last remaining safeguard: the user prompt that would normally warn "this model is from an untrusted source."


This affects ALL ONNX versions through 1.20.1. No patch is currently available. The 
`silent`
 parameter is documented and used in tutorials, so there is likely widespread usage in production pipelines and CI/CD scripts where interactive prompts are suppressed by default.


The supply chain implications are significant. ONNX is the interchange format for ML models across frameworks. Any pipeline that loads ONNX models from external repositories using 
`silent=True`
 is loading without any verification prompt, and the SHA256 check is only as trustworthy as the repository serving the manifest.

文章来源: https://www.reddit.com/r/netsec/comments/1s02jrq/onnx_hub_silenttrue_suppresses_all_trust/
如有侵权请联系:admin#unsafe.sh