一、 小白劇場

小白:東哥,這篇論文講得太深奧了,什么Transformer、GAN……看得我頭都大了。

大東:怎么了?又在啃高深的AI論文呢?看你這愁眉苦臉的樣子,難道是AI模型又跑不動了?

小白:不是跑不動,是看不懂。這些模型太復雜了,感覺就像在玩一個超大的積木游戲,但說明書是天書。

大東: 哈哈,天書不可怕。可怕的是,你辛辛苦苦搭好的積木,可能被人一腳就給踹翻了。

小白:踹翻?什么意思?我搭的積木放在我的電腦里,誰能踹翻?

大東: 如果你的積木不是在你的電腦里,而是在云端,而且還用的英偉達的推理服務器,那可就說不準了。

小白:云端?英偉達?你別嚇我,我最近正打算把我的AI模型放到云上去跑呢!

大東: 別急,聽我慢慢跟你說。最近有個大新聞,跟英偉達的推理服務器有關,你聽了可能要重新考慮一下你的云端計劃了。

小白: 趕緊說趕緊說!別賣關子了!我這小心臟可受不了。

二、 話說事件

大東: 這事兒是這樣的,一家叫Wiz Research的安全研究機構,最近在英偉達的Triton推理服務器上發現了一組高危漏洞鏈。

小白: 等等,Triton推理服務器是什么?

大東: 簡單來說,它就是一個用來部署和運行AI模型的平臺。很多公司都會用它,讓他們的AI模型在云端高效地工作。

小白: 哦,就像是給AI模型租了個豪華公寓,讓它住得舒服一點?

大東: 對,可以這么理解。但是這個“豪華公寓”現在出了個大問題。Wiz Research發現的這組漏洞,可以被攻擊者利用,實現遠程代碼執行。

小白: 遠程代碼執行?聽起來好專業,能說得通俗一點嗎?

大東: 就是攻擊者可以在很遠的地方,通過網絡,在你的服務器上執行他們想做的任何事情,就好像他們坐在你的電腦前一樣。

小白: 天吶,那不就是相當于把我家的鑰匙直接給了陌生人?

大東: 沒錯。而且這個陌生人拿了鑰匙之后,能做的事情可不僅僅是進門看看那么簡單。這組漏洞鏈組合起來,后果非常嚴重。

小白: 都有什么后果?快給我講講!

大東: 首當其沖的是模型被盜。攻擊者可以通過這個漏洞,精準地定位到共享內存區域,把那些耗費大量時間和金錢訓練出來的AI模型直接偷走。

小白: 偷走?那我的心血不就白費了?那可是我熬了多少個夜晚才調教出來的!

大東: 不止如此。第二,是數據泄露。攻擊者一旦控制了模型的運行內存,就能實時讀取模型輸入和輸出的數據。

小白: 實時讀???那如果我用這個模型處理用戶數據,比如身份信息或者財務數據,那豈不是全被他們看到了?

大東: 完全正確。第三,是響應被操縱。攻擊者不僅能看,還能改。他們可以篡改AI模型的輸出,讓它給出錯誤、有偏見甚至是惡意的回應。

小白: 呃,這太可怕了!如果我的AI客服被攻擊了,它豈不是會胡說八道,甚至罵人?

大東: 甚至更糟。第四,也是最危險的,是橫向移動導致的系統失控。攻擊者可以把這臺被攻陷的服務器當成跳板,去攻擊這個公司網絡里的其他系統。

小白: 也就是說,一個小小的漏洞,可能導致整個公司的網絡癱瘓?

大東: 可以這么說。Wiz Research總結得很到位,一個Triton漏洞,足以摧毀一個AI平臺的四大支柱:模型、數據、輸出和系統。

小白: (倒吸一口涼氣)這么厲害的漏洞,是怎么被發現的?

大東: 這組漏洞鏈由三個漏洞組成。第一個是CVE-2025-23320,攻擊者發送一個超大的請求,讓系統報錯。

小白: 報錯?這也能利用?

大東: 是的。這個報錯會暴露一個重要的信息:內部IPC共享內存的唯一標識符。

小白: 標識符?那是什么?

大東: 可以理解為共享內存的“門牌號”。攻擊者拿到了這個門牌號,就可以利用另外兩個漏洞了:CVE-2025-23319和CVE-2025-23334。

小白: 這兩個又是干嘛的?

大東: 一個負責越界寫入,一個負責越界讀取。簡單講,就是攻擊者可以越過正常的界限,隨意讀寫這塊共享內存里的數據。

小白: 我明白了。就是說,先是騙系統把門牌號告訴我,然后我拿著門牌號,就可以隨意進出這棟樓,甚至在里面隨便搬東西、涂鴉?

大東: 這個比喻很形象。這就是一個信息泄露,加上越界讀寫的完美組合。從最初的信息泄露,一步步升級到全面的系統入侵。

小白: 既然這么危險,那為什么會產生這樣的漏洞呢?

大東: 這跟Triton的設計架構有關。它是一個通用的推理平臺,模塊化的后端架構讓它非常靈活,能支持各種AI框架。

小白: 通用不好嗎?聽起來很方便啊。

大東: 通用是一把雙刃劍。為了實現這種通用性,Triton大量使用了進程間通信(IPC)機制,而這個機制的核心就是基于共享內存。

小白: 共享內存……不就是那個門牌號的家嗎?

大東: 對。而這個共享內存的名稱和隱私保護,恰恰是這次漏洞的關鍵。一旦它的名稱泄露,就可能被攻擊者利用。

小白: 我懂了!就像一個商場為了方便,把所有店鋪的鑰匙都做成通用的,結果其中一把鑰匙丟了,所有店鋪都危險了。

大東: 差不多是這個道理。所以說,一處漏洞,牽一發而動全身。這個漏洞主要是在Triton的Python后端被發現的,但因為這個后端被廣泛用于整個推理流程,所以影響范圍也特別大。

小白: 太嚇人了!那現在還有沒有風險?我的模型還能不能上云了?

大東: 別擔心,幸運的是,這個漏洞目前還只停留在實驗室里,沒有被發現用于實際攻擊。英偉達接到報告后,也很快發布了補丁,修復了這三個漏洞。

小白: 那是不是只要更新到最新版本,就安全了?

大東: 是的。英偉達發布了更新后的Triton Inference Server 25.07版本,只要用戶及時將系統更新到這個版本,就可以避免風險。

三、 大話始末

大東: 這次英偉達的漏洞,雖然幸運地被及時修復,但它再次敲響了AI安全的警鐘。

小白: AI安全?以前也有過類似的事件嗎?

大東: 當然。在數字安全和AI安全這個領域,類似的事件層出不窮,只是形式不同而已。我給你講幾個有名的例子。

小白: 好啊好啊,我最喜歡聽故事了。

大東: 第一個,是心臟滴血(Heartbleed)漏洞。這個發生在2014年,影響了當時廣泛使用的OpenSSL加密庫。

小白: OpenSSL?我好像聽說過,是用來加密網站數據的吧?

大東: 對。這個漏洞可以讓攻擊者讀取服務器內存中的數據,包括用戶的用戶名、密碼、信用卡號等等,甚至是服務器的密鑰。

小白: 這跟這次英偉達的漏洞有點像啊,都是讀取內存數據。

大東: 沒錯。第二個,是2017年的永恒之藍(EternalBlue)漏洞。這是美國國家安全局(NSA)開發的網絡武器,被泄露后,導致了全球性的勒索病毒WannaCry大爆發。

小白: WannaCry我知道!當時好多公司的電腦都中了毒,文件都被加密了!

大東: 是的。這個漏洞利用的是Windows系統的一個服務漏洞,讓攻擊者可以遠程執行惡意代碼,直接控制你的電腦。跟這次英偉達的遠程代碼執行,也是異曲同工。

小白: 這……感覺科技越進步,漏洞就越多啊。

大東: 你說得對。再舉一個AI領域的例子。2018年,研究人員發現,可以通過對抗樣本來欺騙AI模型。

小白: 對抗樣本?是那種加一點點噪點,就能讓AI認錯圖片的嗎?

大東: 對。比如在一張熊貓的照片上加一點點人眼看不出的噪點,AI模型就可能把它識別成一只長臂猿。

小白: 哇,這太神奇了!

大東: 這種攻擊方式,可以用來欺騙自動駕駛汽車的視覺系統,讓它把停止的標志識別成限速標志,后果不堪設想。

小白: 這不是比勒索病毒還可怕?直接威脅生命安全了!

大東: 所以說,AI安全是一個非常重要的課題。再給你講兩個跟供應鏈有關的。2020年,著名的SolarWinds供應鏈攻擊事件。

小白: 供應鏈?是說攻擊者攻擊了提供軟件的公司,然后通過他們的軟件把病毒分發給所有用戶嗎?

大東: 就是這個意思。SolarWinds公司的一款網絡管理軟件被植入了后門,導致包括美國政府機構在內的數千家客戶被攻擊。

小白: 這也太隱蔽了,防不勝防啊。

大東: 確實如此。還有去年很火的Log4j漏洞,也影響了無數的應用程序和服務。只要使用了這個日志庫,就可能被攻擊者利用,實現遠程代碼執行。

小白: 遠程代碼執行……怎么又是這個!感覺這是所有漏洞的終極目標。

大東: 沒錯。這些事件都告訴我們,無論是傳統軟件還是AI系統,都存在著各種各樣的安全風險。這次英偉達的漏洞,也算是給AI開發者們提了個醒。

小白: 那我們怎么才能避免這樣的事情發生呢?

大東: 首先,最直接的,就是及時更新。英偉達發布了補丁,用戶就應該第一時間更新到最新版本。

小白: 這我懂,打補丁嘛,就像給電腦打預防針一樣。

大東: 其次,是要加強訪問控制。不要把服務器直接暴露在公網上,而是通過防火墻、VPN等方式,限制訪問權限。

小白: 嗯,就像給家門口裝上防盜門和攝像頭。

大東: 第三,是進行安全審計和代碼審查。定期檢查代碼和系統,尋找潛在的漏洞。

小白: 這就有點難了,不是專業人士做不來吧?

大東: 是的,所以需要專業的安全團隊。但作為開發者,要有這個意識。第四,是采用最小權限原則。

小白: 最小權限?

大東: 就是給每個程序和用戶最小的、能完成任務的權限。比如Triton的Python后端,如果它只需要讀寫某個特定區域,就不要給它整個系統的讀寫權限。

小白: 哦,就像我只在廚房做飯,就只給我廚房的鑰匙,不給我臥室和書房的鑰匙。

大東: 這個比喻很貼切。最后,是多層防御。不要把所有的雞蛋放在一個籃子里。在網絡、系統、應用等多個層面都做好安全防護。

小白: 就像家里不光有防盜門,還有窗戶上的護欄、屋里的保險柜,層層設防。

大東: 聰明!你總結得很好。AI時代,安全問題只會越來越復雜。我們既要享受AI帶來的便利,也要時刻警惕它可能帶來的風險。

四、 小白內心說

小白:大東哥講完之后,我坐在那里,久久不能平靜。我以前覺得AI是高高在上的技術,是未來,是無所不能的神器。我夢想著有一天能做出一個自己的AI模型,在云端大放異彩。但今天大東哥的這番話,徹底顛覆了我的認知。原來,這個看似光鮮亮麗的AI世界,也充滿了未知的風險和陷阱。英偉達的推理服務器,聽起來多么高大上,可一個看似不起眼的漏洞,就能讓它“裸奔”,讓所有人的模型、數據、心血暴露在攻擊者的眼皮子底下。這讓我感到一絲恐懼,也感到一種沉重的責任。所以把安全作為AI學習的必修課,不僅要學會搭建宏偉的積木,更要學會如何保護它,讓它在安全的圍墻里,茁壯成長。

來源: CCF科普