Nvidia、AIモデルのセキュリティを脅かす重大なTritonサーバーのバグを修正

NvidiaのTriton Inference Serverにおける、一見些細なメモリ名の漏洩から始まる意外な攻撃チェーンにより、ユーザー認証なしでリモートからサーバーを完全に乗っ取ることが可能になる恐れがあります。

Wizのセキュリティ研究者は、大規模なAIモデル運用のための人気オープンソースプラットフォームにおいて、重大な脆弱性の連鎖を発見しました。

「これらの脆弱性を組み合わせることで、リモートの未認証攻撃者がサーバーを完全に制御し、リモートコード実行（RCE）を達成できる可能性があります」とWizの研究者、Ronen Shustin氏とNir Ohfeld氏はブログ投稿で述べています。「これはTritonをAI/MLに利用している組織にとって重大なリスクであり、攻撃が成功すれば貴重なAIモデルの窃取、機密データの漏洩、AIモデルの応答の改ざん、さらには攻撃者がネットワーク内で更なる侵入の足掛かりを得ることにつながります。」

研究者らは、情報漏洩、入力検証の欠如、リモートコード実行（RCE）など、この攻撃チェーンにつながる合計3つの脆弱性を発見し、Nvidiaに報告しました。AI大手のNvidiaはすでに修正パッチをリリースしています。

小さなエラーからサーバー完全制御へ

TritonはPyTorchやTensorFlowなど主要なAIフレームワークをモジュール型バックエンドでサポートする汎用推論サーバーです。各バックエンドが特定フレームワークのモデルを処理し、Tritonが推論リクエストを適切に振り分けます。推論リクエストとは、訓練済みAIモデルに新しい現実世界のデータに対する判断や予測を求める呼び出しです。

攻撃チェーンは、TritonのPythonバックエンドで細工された推論リクエストによるエラーから始まり、エラーメッセージ内に共有メモリキー全体が漏洩する可能性があります。本来非公開であるはずのこのキーは、Tritonの共有メモリAPI（パフォーマンス向上のためのもの）を悪用することで、攻撃者に内部バックエンドメモリへの任意の読み書き権限を与えてしまいます。

「Tritonはパフォーマンス向上のため、ユーザーフレンドリーな共有メモリ機能を提供しています」と研究者は述べています。「クライアントはこの機能を利用して、Tritonに既存の共有メモリ領域から入力テンソルを読み込み、出力テンソルを書き込ませることができます。このプロセスにより、大量データのネットワーク転送コストを回避でき、推論ワークロードの最適化に有効な強力なツールです。」

この脆弱性は、APIが共有メモリキーが有効なユーザー所有領域か、制限された内部領域かを検証しないことに起因しています。最終的には、メモリ破損やプロセス間通信（IPC）構造の改ざんにより、完全なリモートコード実行が可能となります。

あらゆるAIに影響する可能性

Nvidiaは以前、同社のAI推論プラットフォームがMicrosoft、Capital One、Samsung Medison、Siemens Energy、Snapなどの大手企業を含む25,000社以上に利用されていると発表しています。月曜日、同社はセキュリティアドバイザリを公開し、CVE-2025-23319、CVE-2025-23320、CVE-2025-23334の脆弱性およびパッチの詳細を説明しました。ユーザーには、Nvidia Triton Inference ServerおよびPythonバックエンドの両方をバージョン25.07にアップグレードして、問題を完全に解消することが推奨されています。

Tritonのようなモデルサービング基盤は、AIの普及拡大とともに重要な攻撃対象領域となっています。2023年10月には、Hugging FaceやTorch Serveなど大手プロバイダーの推論エンドポイントで、重大な情報漏洩リスクにつながる問題が発生しました。