NVIDIAのTriton Inference Serverに重大な脆弱性が発見される

研究者により、NVIDIAのTriton Inference Serverに一連の重大な脆弱性が発見されました。これは、Container Toolkitの脆弱性が特定されてからわずか2週間後のことです。

Triton Inference Serverは、AIモデルを大規模に実行するためのオープンソースプラットフォームです。

Wizによって発見されたこれらの脆弱性は、リモートの認証されていない攻撃者がサーバーを完全に制御し、リモートコード実行（RCE）を達成できる可能性があります。

NVIDIAはこの脆弱性チェーンに以下の識別子を割り当てています：CVE-2025-23319、CVE-2025-23320、CVE-2025-23334。

研究者は、攻撃が成功した場合に以下のような結果が生じる可能性があると指摘しています：

• モデルの窃盗：独自の高価なAIモデルの盗難
• データ漏洩：モデルによって処理されるユーザー情報や金融データなどの機密データの傍受
• レスポンスの改ざん：AIモデルの出力を不正確、偏った、または悪意のある応答に改ざん
• ピボッティング：侵害されたサーバーを足掛かりに組織内の他のシステムを攻撃

Wizの研究者は5月15日にこの脆弱性チェーンをNVIDIAに報告し、翌5月16日に同社から受領の確認がありました。

これらの脆弱性に対するパッチは、8月4日にNVIDIAのセキュリティ情報として公開されました。Triton Inference Serverのユーザーは、必ず最新バージョンへアップデートすることが強く推奨されます。

Wizが攻撃チェーンの詳細を公開

8月4日のブログ投稿で、Wiz Researchチームは発見した脆弱性の概要を詳しく説明しました。

Tritonのアーキテクチャは、主要なAIフレームワーク（PyTorch、TensorFlowなど）から展開可能な汎用推論サーバーとして設計されていますが、Wizの調査は利用が広範なPythonバックエンドに焦点を当てました。

WizによるPythonバックエンドの監査中、エラーハンドリング機構に欠陥があり、内部IPC共有メモリ領域のユニークな名前が漏洩することが判明しました。

返されるエラーメッセージは以下のようになります：{“error”:”Failed to increase the shared memory pool size for key ‘triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859’…”}

この名前の漏洩は、攻撃チェーンにおける最初の重要なステップであり、本来非公開であるべき内部コンポーネントが露呈します。

Pythonバックエンドの内部IPC共有メモリの名前が漏洩すると、攻撃者はTritonで使用されるパブリックAPIを悪用できるようになります。

攻撃者は漏洩した内部キーを使って登録エンドポイントを呼び出すことができ、サーバーがそれを受け入れると、この領域を入力や出力に使う推論リクエストを作成できます。

これにより、攻撃者はPythonバックエンドのプライベートメモリに対する強力な読み書き操作が可能となり、そこにはIPC機構に関連する内部データや制御構造も含まれています。これらはすべて標準的かつ正当なAPIコールを通じて行われます。

攻撃者がPythonバックエンドの共有メモリを改変できるようになることで、サーバーに予期せぬ動作を引き起こすことが可能となります。この能力を利用して、サーバーの完全な制御を奪うことができます。

これは、Wiz Researchによって公開されたNVIDIAの一連の脆弱性の最新事例であり、2件のコンテナエスケープ（CVE-2025-23266およびCVE 2024-0132）も含まれます。

画像クレジット：Hepha1st0s / Shutterstock.com