英伟达Triton服务器漏洞：安全警钟再响

安全警钟再次响起，英伟达Triton推理服务器面临严峻挑战。

据安全研究机构Wiz Research披露，一系列高危漏洞正威胁着这款服务器。

这些漏洞若被组合利用，将可实施远程代码执行（RCE），使攻击者得以读取或篡改共享内存中的数据，操控模型输出，进而控制整个推理后端。

潜在后果令人担忧，包括模型被盗、数据泄露、响应被操纵，甚至可能导致系统失控。

目前，英伟达已迅速发布补丁，但所有25.07版本之前的系统均处于风险之中，用户需尽快将Triton Inference Server更新至最新版本。

漏洞危机：牵一发而动全身

这一系列漏洞究竟意味着什么？

Wiz Research指出，该漏洞链可能使未经身份验证的远程攻击者掌控英伟达Triton推理服务器，并引发一系列严重后果：

首先是模型被盗（Model Theft），攻击者能精确定位共享内存区域，窃取昂贵的人工智能模型。

其次是数据泄露（Data Breach），一旦控制模型运行时的内存，攻击者即可实时读取模型输入输出，获取敏感数据。

再往后是响应被操纵（Response Manipulation），攻击者不仅能读取数据，还能篡改输出，使AI模型产生错误、有偏见或恶意的回应。

最后，是横向移动（Pivoting）导致的系统失控，攻击者利用已控制的服务器作为跳板，进一步攻击组织网络内的其他系统。

可以说，一个Triton漏洞足以摧毁AI平台的四大支柱：模型、数据、输出、系统。

揭秘：漏洞如何构成威胁？

这些漏洞由三个具体漏洞组成：

CVE-2025-23320：当攻击者发送超出共享内存限制的超大请求时，会触发异常，返回的错误信息会暴露后端内部IPC（进程间通信）共享内存区的唯一标识符（key）。

CVE-2025-23319：利用上述标识符，攻击者可执行越界写入（out-of-bounds write）。

CVE-2025-23334：利用标识符可实现越界读（out-of-bounds read）。

这三个漏洞环环相扣，构成了完整的攻击链条。攻击者首先利用CVE-2025-23320获取内部共享内存的唯一标识符，随后利用CVE-2025-23319和CVE-2025-23334进行越界写入和读取操作。

具体攻击手段包括破坏后端共享内存中的数据结构，伪造和操控IPC消息队列中的消息等。最终，攻击者能够干扰服务器正常行为，实现对服务器的完全控制。

通用背后的双刃剑

尽管这次漏洞集中在Triton的Python后端，但“Python后端”并非专供Python框架调用。

英伟达的Triton是一个通用的推理平台，旨在简化AI模型在不同框架上的部署和运行。其模块化后端架构使得每个后端负责执行对应框架的模型。

在推理过程中，即便主模型运行在某个特定后端（如PyTorch），也可能在内部调用Python后端完成某些任务。因此，Python后端在Triton的推理流程中被广泛使用，成为潜在的安全薄弱点。

此外，Triton Python后端的核心逻辑用C++实现。当有推理请求时，C++组件会与一个单独的“stub”进程通信。为了实现高效的数据交换，Python后端采用了复杂的进程间通信（IPC）机制。然而，这种设计也带来了安全隐患：共享内存名称的安全性和隐私保护至关重要。

综上，通用平台虽灵活却成为安全命门。幸运的是，目前这些漏洞尚未被用于实际攻击，且英伟达已迅速修复并发布了更新后的版本。

参考链接：

[1]https://www.theregister.com/2025/08/05/nvidia_triton_bug_chain/

[2]https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server

[3]https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html