一、 小白剧场

小白：东哥，这篇论文讲得太深奥了，什么Transformer、GAN……看得我头都大了。

大东：怎么了？又在啃高深的AI论文呢？看你这愁眉苦脸的样子，难道是AI模型又跑不动了？

小白：不是跑不动，是看不懂。这些模型太复杂了，感觉就像在玩一个超大的积木游戏，但说明书是天书。

大东： 哈哈，天书不可怕。可怕的是，你辛辛苦苦搭好的积木，可能被人一脚就给踹翻了。

小白：踹翻？什么意思？我搭的积木放在我的电脑里，谁能踹翻？

大东： 如果你的积木不是在你的电脑里，而是在云端，而且还用的英伟达的推理服务器，那可就说不准了。

小白：云端？英伟达？你别吓我，我最近正打算把我的AI模型放到云上去跑呢！

大东： 别急，听我慢慢跟你说。最近有个大新闻，跟英伟达的推理服务器有关，你听了可能要重新考虑一下你的云端计划了。

小白： 赶紧说赶紧说！别卖关子了！我这小心脏可受不了。

二、 话说事件

大东： 这事儿是这样的，一家叫Wiz Research的安全研究机构，最近在英伟达的Triton推理服务器上发现了一组高危漏洞链。

小白： 等等，Triton推理服务器是什么？

大东： 简单来说，它就是一个用来部署和运行AI模型的平台。很多公司都会用它，让他们的AI模型在云端高效地工作。

小白： 哦，就像是给AI模型租了个豪华公寓，让它住得舒服一点？

大东： 对，可以这么理解。但是这个“豪华公寓”现在出了个大问题。Wiz Research发现的这组漏洞，可以被攻击者利用，实现远程代码执行。

小白： 远程代码执行？听起来好专业，能说得通俗一点吗？

大东： 就是攻击者可以在很远的地方，通过网络，在你的服务器上执行他们想做的任何事情，就好像他们坐在你的电脑前一样。

小白： 天呐，那不就是相当于把我家的钥匙直接给了陌生人？

大东： 没错。而且这个陌生人拿了钥匙之后，能做的事情可不仅仅是进门看看那么简单。这组漏洞链组合起来，后果非常严重。

小白： 都有什么后果？快给我讲讲！

大东： 首当其冲的是模型被盗。攻击者可以通过这个漏洞，精准地定位到共享内存区域，把那些耗费大量时间和金钱训练出来的AI模型直接偷走。

小白： 偷走？那我的心血不就白费了？那可是我熬了多少个夜晚才调教出来的！

大东： 不止如此。第二，是数据泄露。攻击者一旦控制了模型的运行内存，就能实时读取模型输入和输出的数据。

小白： 实时读取？那如果我用这个模型处理用户数据，比如身份信息或者财务数据，那岂不是全被他们看到了？

大东： 完全正确。第三，是响应被操纵。攻击者不仅能看，还能改。他们可以篡改AI模型的输出，让它给出错误、有偏见甚至是恶意的回应。

小白： 呃，这太可怕了！如果我的AI客服被攻击了，它岂不是会胡说八道，甚至骂人？

大东： 甚至更糟。第四，也是最危险的，是横向移动导致的系统失控。攻击者可以把这台被攻陷的服务器当成跳板，去攻击这个公司网络里的其他系统。

小白： 也就是说，一个小小的漏洞，可能导致整个公司的网络瘫痪？

大东： 可以这么说。Wiz Research总结得很到位，一个Triton漏洞，足以摧毁一个AI平台的四大支柱：模型、数据、输出和系统。

小白： (倒吸一口凉气)这么厉害的漏洞，是怎么被发现的？

大东： 这组漏洞链由三个漏洞组成。第一个是CVE-2025-23320，攻击者发送一个超大的请求，让系统报错。

小白： 报错？这也能利用？

大东： 是的。这个报错会暴露一个重要的信息：内部IPC共享内存的唯一标识符。

小白： 标识符？那是什么？

大东： 可以理解为共享内存的“门牌号”。攻击者拿到了这个门牌号，就可以利用另外两个漏洞了：CVE-2025-23319和CVE-2025-23334。

小白： 这两个又是干嘛的？

大东： 一个负责越界写入，一个负责越界读取。简单讲，就是攻击者可以越过正常的界限，随意读写这块共享内存里的数据。

小白： 我明白了。就是说，先是骗系统把门牌号告诉我，然后我拿着门牌号，就可以随意进出这栋楼，甚至在里面随便搬东西、涂鸦？

大东： 这个比喻很形象。这就是一个信息泄露，加上越界读写的完美组合。从最初的信息泄露，一步步升级到全面的系统入侵。

小白： 既然这么危险，那为什么会产生这样的漏洞呢？

大东： 这跟Triton的设计架构有关。它是一个通用的推理平台，模块化的后端架构让它非常灵活，能支持各种AI框架。

小白： 通用不好吗？听起来很方便啊。

大东： 通用是一把双刃剑。为了实现这种通用性，Triton大量使用了进程间通信（IPC）机制，而这个机制的核心就是基于共享内存。

小白： 共享内存……不就是那个门牌号的家吗？

大东： 对。而这个共享内存的名称和隐私保护，恰恰是这次漏洞的关键。一旦它的名称泄露，就可能被攻击者利用。

小白： 我懂了！就像一个商场为了方便，把所有店铺的钥匙都做成通用的，结果其中一把钥匙丢了，所有店铺都危险了。

大东： 差不多是这个道理。所以说，一处漏洞，牵一发而动全身。这个漏洞主要是在Triton的Python后端被发现的，但因为这个后端被广泛用于整个推理流程，所以影响范围也特别大。

小白： 太吓人了！那现在还有没有风险？我的模型还能不能上云了？

大东： 别担心，幸运的是，这个漏洞目前还只停留在实验室里，没有被发现用于实际攻击。英伟达接到报告后，也很快发布了补丁，修复了这三个漏洞。

小白： 那是不是只要更新到最新版本，就安全了？

大东： 是的。英伟达发布了更新后的Triton Inference Server 25.07版本，只要用户及时将系统更新到这个版本，就可以避免风险。

三、 大话始末

大东： 这次英伟达的漏洞，虽然幸运地被及时修复，但它再次敲响了AI安全的警钟。

小白： AI安全？以前也有过类似的事件吗？

大东： 当然。在数字安全和AI安全这个领域，类似的事件层出不穷，只是形式不同而已。我给你讲几个有名的例子。

小白： 好啊好啊，我最喜欢听故事了。

大东： 第一个，是心脏滴血（Heartbleed）漏洞。这个发生在2014年，影响了当时广泛使用的OpenSSL加密库。

小白： OpenSSL？我好像听说过，是用来加密网站数据的吧？

大东： 对。这个漏洞可以让攻击者读取服务器内存中的数据，包括用户的用户名、密码、信用卡号等等，甚至是服务器的密钥。

小白： 这跟这次英伟达的漏洞有点像啊，都是读取内存数据。

大东： 没错。第二个，是2017年的永恒之蓝（EternalBlue）漏洞。这是美国国家安全局（NSA）开发的网络武器，被泄露后，导致了全球性的勒索病毒WannaCry大爆发。

小白： WannaCry我知道！当时好多公司的电脑都中了毒，文件都被加密了！

大东： 是的。这个漏洞利用的是Windows系统的一个服务漏洞，让攻击者可以远程执行恶意代码，直接控制你的电脑。跟这次英伟达的远程代码执行，也是异曲同工。

小白： 这……感觉科技越进步，漏洞就越多啊。

大东： 你说得对。再举一个AI领域的例子。2018年，研究人员发现，可以通过对抗样本来欺骗AI模型。

小白： 对抗样本？是那种加一点点噪点，就能让AI认错图片的吗？

大东： 对。比如在一张熊猫的照片上加一点点人眼看不出的噪点，AI模型就可能把它识别成一只长臂猿。

小白： 哇，这太神奇了！

大东： 这种攻击方式，可以用来欺骗自动驾驶汽车的视觉系统，让它把停止的标志识别成限速标志，后果不堪设想。

小白： 这不是比勒索病毒还可怕？直接威胁生命安全了！

大东： 所以说，AI安全是一个非常重要的课题。再给你讲两个跟供应链有关的。2020年，著名的SolarWinds供应链攻击事件。

小白： 供应链？是说攻击者攻击了提供软件的公司，然后通过他们的软件把病毒分发给所有用户吗？

大东： 就是这个意思。SolarWinds公司的一款网络管理软件被植入了后门，导致包括美国政府机构在内的数千家客户被攻击。

小白： 这也太隐蔽了，防不胜防啊。

大东： 确实如此。还有去年很火的Log4j漏洞，也影响了无数的应用程序和服务。只要使用了这个日志库，就可能被攻击者利用，实现远程代码执行。

小白： 远程代码执行……怎么又是这个！感觉这是所有漏洞的终极目标。

大东： 没错。这些事件都告诉我们，无论是传统软件还是AI系统，都存在着各种各样的安全风险。这次英伟达的漏洞，也算是给AI开发者们提了个醒。

小白： 那我们怎么才能避免这样的事情发生呢？

大东： 首先，最直接的，就是及时更新。英伟达发布了补丁，用户就应该第一时间更新到最新版本。

小白： 这我懂，打补丁嘛，就像给电脑打预防针一样。

大东： 其次，是要加强访问控制。不要把服务器直接暴露在公网上，而是通过防火墙、VPN等方式，限制访问权限。

小白： 嗯，就像给家门口装上防盗门和摄像头。

大东： 第三，是进行安全审计和代码审查。定期检查代码和系统，寻找潜在的漏洞。

小白： 这就有点难了，不是专业人士做不来吧？

大东： 是的，所以需要专业的安全团队。但作为开发者，要有这个意识。第四，是采用最小权限原则。

小白： 最小权限？

大东： 就是给每个程序和用户最小的、能完成任务的权限。比如Triton的Python后端，如果它只需要读写某个特定区域，就不要给它整个系统的读写权限。

小白： 哦，就像我只在厨房做饭，就只给我厨房的钥匙，不给我卧室和书房的钥匙。

大东： 这个比喻很贴切。最后，是多层防御。不要把所有的鸡蛋放在一个篮子里。在网络、系统、应用等多个层面都做好安全防护。

小白： 就像家里不光有防盗门，还有窗户上的护栏、屋里的保险柜，层层设防。

大东： 聪明！你总结得很好。AI时代，安全问题只会越来越复杂。我们既要享受AI带来的便利，也要时刻警惕它可能带来的风险。

四、 小白内心说

小白：大东哥讲完之后，我坐在那里，久久不能平静。我以前觉得AI是高高在上的技术，是未来，是无所不能的神器。我梦想着有一天能做出一个自己的AI模型，在云端大放异彩。但今天大东哥的这番话，彻底颠覆了我的认知。原来，这个看似光鲜亮丽的AI世界，也充满了未知的风险和陷阱。英伟达的推理服务器，听起来多么高大上，可一个看似不起眼的漏洞，就能让它“裸奔”，让所有人的模型、数据、心血暴露在攻击者的眼皮子底下。这让我感到一丝恐惧，也感到一种沉重的责任。所以把安全作为AI学习的必修课，不仅要学会搭建宏伟的积木，更要学会如何保护它，让它在安全的围墙里，茁壮成长。

来源: CCF科普