TokyoBlackHatNews

csoonline.com 4分で読了

コピーペースト脆弱性がMeta、Nvidia、MicrosoftのAI推論フレームワークを直撃

MetaのLlama StackからNvidia TensorRT-LLM、vLLM、SGLangなどへ複製された欠陥が、企業のAIスタックにシステミックなリスクをもたらす。

サイバーセキュリティ研究者は、Meta、Nvidia、Microsoft、そしてvLLMやSGLangなどのオープンソースプロジェクトを含む主要なAI推論サーバーフレームワークにおいて、重大なリモートコード実行(RCE)脆弱性の連鎖を発見しました。

Oligo Securityによると、これらの脆弱性は、その伝播方法が特徴的です。開発者が安全でないパターンを含むコードをプロジェクト間でコピーし、同じ欠陥を複数のエコシステムに実質的に移植していました。

「これらの脆弱性はすべて同じ根本原因にたどり着きました。それは、見落とされていたZeroMQ(ZMQ)とPythonのpickleデシリアライズの安全でない使用です」とOligoのセキュリティ研究者Avi Lumelskyは述べています。「さらに調査を進めると、コードファイルがプロジェクト間で(時には一字一句)コピーされ、危険なパターンが次々とリポジトリ間を移動していることが分かりました。」

Lumelskyはブログ投稿で、Oligoが過去1年間にわたり広く利用されているAIフレームワーク全体で同様のRCE級の脆弱性を発見してきたことを指摘し、新興の推論エコシステムにおけるシステミックなセキュリティギャップを示唆しています。

コード再利用による汚染

調査の中で、Oligoの研究者は最初のトリガーがMetaのLlama Stackで明らかになったことを発見しました。そこでは、ZeroMQの「recv-pyobj()」を使ってデータを受信し、それを直接Pythonの「pickle.loads()」に渡していました。これにより、認証されていないソケット経由で任意のコード実行が可能となっていました。

「Pythonを扱ったことがあるなら、pickleがセキュリティを目的としていないことはご存知でしょう」とLumelskyは述べています。「デシリアライズ時に任意のコードを実行できてしまうため、厳密に管理された環境では問題ありませんが、ネットワーク越しに公開されている場合は全く問題ではありません。」

Metaから、同じ安全でないパターンがNvidiaのTensorRT-LLM、vLLM、SGLang、さらにはModular Max Serverなど他のフレームワークにも現れました。これらはほぼ同一のコード(時には「vLLMから適応」などのヘッダーコメント付き)を含んでいました。

Oligoはこれを「ShadowMQ」パターンと呼んでいます。これは、新たな実装ではなく、コピーペーストやわずかな適応によってリポジトリ間を移動する、隠れた通信層の欠陥です。これらのフレームワークがAIエコシステム全体で広く再利用されているため、汚染リスクはシステミックとなり、単一の脆弱なコンポーネントが多くの下流プロジェクトに感染する可能性があります。

Oligoはこの脆弱性(CVE-2024-50050)を2024年9月にMetaに報告し、Metaは迅速にJSONベースのシリアライズによるパッチを適用しました。その後、OligoはvLLM(CVE-2025-30165)、NVIDIA TensorRT-LLM(CVE-2025-23254)、Modular Max Server(CVE-2025-60455)での同様の脆弱性の複製を指摘し、すべて適切な代替ロジックで修正されています。

AIインフラにとってなぜ重要か

脆弱な推論サーバーは、多くのエンタープライズグレードのAIスタックの基盤を形成しており、機密性の高いプロンプト、モデルの重み、顧客データを処理しています。Oligoは、これらの推論クラスターに関連するものも含め、パブリックインターネット上で数千のZeroMQソケットが公開されていることを報告しました。

もし悪用された場合、攻撃者はGPUクラスター上で任意のコードを実行したり、権限を昇格させたり、モデルや顧客データを流出させたり、GPUマイナーをインストールしたりして、AIインフラ資産をリスクに変えてしまう可能性があります。

SGLangはxAI、AMD、Nvidia、Intel、LinkedIn、Cursor、Oracle Cloud、Google Cloudなど、複数の大企業に採用されているとLumelskyは指摘しています。

Oligoは、Meta Llama Stack v.0.0.41以降、Nvidia TensorRT-LLM 0.18.2以降、vLLM v0.8.0以降、Modular Max Server v25.6以降など、パッチが適用されたバージョンへのアップグレードを推奨しています。また、信頼できないデータでのpickleの使用制限、ZQベース通信へのHMACおよびTLS認証の追加、開発チームへのリスク教育も推奨されています。

翻訳元: https://www.csoonline.com/article/4090061/copy-paste-vulnerability-hit-ai-inference-frameworks-at-meta-nvidia-and-microsoft.html

ソース: csoonline.com
#5G脆弱性 #AIインフラストラクチャ #AIセキュリティ #Instance Metadata Service (IMDS) #Microsoft #NVIDIA #Python pickle #ZeroMQ #コード再利用 #リモートコード実行

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く