聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
PyTorch 由 Meta AI 开发,目前由 Linux 基金会管理,是应用程序的“发电站”,用于构建智能计算机视觉系统、了解自然语言的细微差别。PyTorch 免费开源,拥有用户友好的 Python 界面,是全球研究人员和开发人员的心头好。
该漏洞由研究员 Ji’an Zhou发现,他提到,“所有人都知道 weights_only=False 是不安全的,所以会用 weights_only=True来缓解该安全问题。但就在现在我证明了即使使用 weights_only=True,RCE仍可实现。”
如恶意人员通过构造一个模型文件利用该漏洞,则可在目标机器上执行任意命令,就有可能导致数据泄露、系统攻陷,甚至在云托管的AI环境中横向移动。再加上很多开发人员将 weights_only=True 作为防护措施,该利用可能会在部署了安全实践的环境中获得成功。
好在 PyTortch 团队已迅速修复该严重漏洞。已修复版本 2.6.0已发布。因此,用户应立即采取的最重要的步骤就是将 PyTorch 版本升级至2.6.0或更高版本。
具体而言,用户可通过如下步骤进行更新:
使用 pip:
pip install torch torchvision torchaudio --upgrade使用conda:
conda update pytorch torchvision torchaudio -c pytorch原文始发于微信公众号(代码卫士):PyTorch 中存在严重的RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论