地平线快报2025年08月07日 12:17消息，英伟达推理服务器曝致命漏洞，云端AI模型或遭窃取，安全防线岌岌可危。

　　 一波未平，一波又起。

　　 就在全球AI基础设施加速部署的关键节点，网络安全研究机构Wiz Research近日曝光了英伟达Triton推理服务器中存在的一组高危漏洞链，再次为人工智能系统的底层安全敲响警钟。

　　 这组被编号为CVE-2025-23320、CVE-2025-23319和CVE-2025-23334的漏洞，可被攻击者组合利用，实现远程代码执行（RCE），从而读取或篡改共享内存中的关键数据，操纵模型输出，甚至完全控制整个推理后端。

　　 更令人担忧的是，这些漏洞无需身份验证即可触发，意味着任何能够访问Triton服务端口的攻击者都可能发起攻击。一旦得手，后果极为严重：从AI模型被盗、敏感数据泄露，到响应被恶意操控，乃至成为攻击企业内网的跳板，形成系统性安全危机。

　　 目前，英伟达已紧急发布补丁，并推出Triton Inference Server 25.07版本以修复问题。然而，所有此前未升级至该版本的系统仍处于高风险状态，亟需尽快完成更新。

　　 此次漏洞链的破坏力不容小觑。据Wiz Research披露，攻击者可利用CVE-2025-23320，在发送超大请求导致异常时，获取后端IPC共享内存区域的唯一标识符（key）。这一信息本应严格保密，却因错误处理机制不当而暴露，堪称“开门迎客”。

　　 获得该标识符后，攻击者便可借助CVE-2025-23319和CVE-2025-23334，实施越界读写操作，进而操控Python后端的核心内存结构。这种从信息泄露到内存破坏，再到系统控制的完整攻击路径，堪称教科书级别的漏洞利用链条。

　　 尤其值得警惕的是，尽管漏洞集中在Triton的Python后端，但其影响范围远不止运行Python模型的场景。Triton作为通用推理平台，采用模块化后端架构，即便主模型运行在TensorFlow或PyTorch上，只要流程中涉及自定义逻辑或脚本调用，就可能触发Python后端执行。

　　 这意味着，哪怕企业宣称“我们不用Python”，只要部署了Triton且未打补丁，仍可能成为攻击目标。一个看似边缘的组件，却因架构耦合度高，演变为全局性安全短板。

　　 深入分析其技术架构可以发现，Triton Python后端的核心由C++实现，通过IPC机制与独立的“stub”进程通信，数据交换依赖命名共享内存（如/dev/shm下的区域）。这种设计虽提升了性能，却将安全寄托于共享内存名称的隐蔽性，本质上是一种“安全通过 obscurity”的脆弱模式。

　　 当共享内存key被泄露，攻击者便能直接介入进程间通信，伪造消息、篡改指针、破坏数据结构，最终实现对服务器的完全接管。这不仅暴露了代码层面的缺陷，更反映出在高性能与安全性之间，当前AI基础设施仍存在严重的权衡失衡。

　　 值得注意的是，截至目前，该漏洞链尚未发现野外利用案例，属于典型的“先发现、后防御”模式。这要归功于Wiz Research的及时披露和英伟达的快速响应。从漏洞报告到补丁发布，整个过程体现了负责任的漏洞披露机制的重要性。

　　 但我们也必须清醒认识到，AI系统的攻击面正在迅速扩大。从模型本身到推理引擎，从训练数据到部署架构，每一个环节都可能成为突破口。Triton作为全球最主流的AI推理服务器之一，广泛应用于金融、医疗、自动驾驶等领域，一旦被大规模利用，后果不堪设想。

　　 此次事件再次提醒我们：AI安全不能仅靠“信任默认”。在追求推理效率和部署灵活性的同时，必须将安全设计前置，尤其是在涉及进程通信、内存管理、权限隔离等底层机制时，容不得半点侥幸。

　　 对于广大用户而言，立即升级至Triton 25.07或更高版本已是当务之急。同时，建议对已运行的AI服务进行全面安全审计，检查是否存在未授权访问、异常内存行为或可疑日志记录。

　　 从长远看，AI基础设施的安全建设必须走向标准化、自动化和可验证化。无论是开源项目还是商业产品，都应建立更严格的代码审查机制、更透明的漏洞响应流程，以及更强的运行时防护能力。

　　 毕竟，在AI时代，模型不仅是资产，更是权力。谁控制了推理服务器，谁就可能控制决策本身。一个漏洞，不只是技术问题，更可能是未来数字世界的权力转折点。