漏洞背景
PyTorch作为由Meta AI开发的开源深度学习框架,被广泛应用于计算机视觉、自然语言处理等领域。其模型加载机制的安全性问题直接关系到数百万开发者和研究机构的生产环境安全。2025年4月披露的该漏洞颠覆了开发者对weights_only=True
参数的安全认知,成为近年来机器学习框架领域最严重的安全威胁之一。
漏洞概述
该漏洞存在于PyTorch模型加载函数torch.load()
中,当使用weights_only=True
参数时,攻击者可通过构造恶意模型文件实现远程代码执行(RCE)。漏洞CVSS v3评分为9.8(Critical),v4评分达9.3,影响范围覆盖2.5.1及更早版本,成功利用可导致目标系统完全沦陷、敏感数据泄露,并可能在云计算环境中形成横向渗透。
漏洞详情
-
漏洞成因
-
反序列化过程存在校验缺陷,攻击者可注入恶意序列化对象绕过 weights_only
限制(CWE-502) -
安全机制未正确处理特定类型的Python对象,导致非权重数据执行反序列化操作 -
攻击场景
-
攻击者将恶意代码嵌入 .pt
或.pth
模型文件,通过供应链攻击、钓鱼邮件等方式分发 -
受害者使用 torch.load(file, weights_only=True)
加载模型时触发漏洞 -
云服务平台中托管模型的自动加载机制可能成为大规模攻击入口
影响范围
|
|
---|---|
|
|
|
|
解决措施
-
立即升级至PyTorch 2.6.0或更高版本
# pip升级命令pip install torch torchvision torchaudio --upgrade# conda升级命令 conda update pytorch torchvision torchaudio -c pytorch
-
暂停加载来源不明的模型文件 -
在沙箱环境中运行模型加载操作
安全建议
1. 版本检测
-
执行 print(torch.__version__)
验证当前版本 -
审查CI/CD流水线中的PyTorch依赖版本
2. 长期防护策略
-
建立模型文件完整性校验机制 -
在安全策略中强制规定 weights_only
参数的使用规范 -
对生产环境中的模型加载操作启用行为监控
(注:本文所述技术细节均来自PyTorch官方安全公告及CVE数据库披露信息)
参考链接:
[1] https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-32434
原文始发于微信公众号(安全狐):【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论