輝達修補Triton伺服器致命漏洞，防止AI模型遭竊與資料外洩

2025-08-05

輝達（Nvidia）近日針對其Triton推論伺服器修補了一組關鍵漏洞鏈，這些漏洞若被惡意人士串聯利用，將允許未經授權的遠端攻擊者完全控制伺服器，並執行任意程式碼。

這三項漏洞分別為CVE-2025-23319、CVE-2025-23320與CVE-2025-23334，它們是輝達本週發布的17個高中低嚴重性漏洞修補程式之一。作為GPU與AI基礎設施工具的領導供應商，輝達日益擴大的軟體生態系近年來面臨的漏洞問題也隨之增加。

Triton推論伺服器是一個開源平台，主要負責處理模型推論任務。簡單來說，它就像一個智慧郵件分發中心，接收使用者輸入的資料後，將其發送至適當的AI模型（如使用TensorFlow、PyTorch等深度學習框架建立的模型）進行處理，以產生圖像辨識、語音翻譯或詐騙偵測等結果。

資安公司Wiz的研究人員在Triton的Python後端中發現了這組漏洞鏈，並於今年5月向輝達通報。

Wiz研究部門負責人Nir Ohfeld解釋了這組漏洞的攻擊路徑：

第一步：資訊洩漏（CVE-2025-23319） 攻擊者透過特製的請求，利用這個資訊洩漏漏洞，獲取伺服器內部私有共享記憶體區域的獨特名稱。單獨來看，這是一個嚴重性較低的漏洞，但其主要危險在於它提供了後續攻擊的關鍵鑰匙。
第二步：記憶體讀寫權限（CVE-2025-23320） 攻擊者利用第一步洩漏的記憶體名稱，進而取得對該特定記憶體區域的完整讀取與寫入權限。
第三步：遠端程式碼執行（CVE-2025-23334） 在獲得記憶體讀寫權限後，攻擊者可以利用這個漏洞來破壞伺服器內部的資料結構或操縱控制訊息，最終導致完整的遠端程式碼執行（RCE）。

Ohfeld指出，這對使用Triton進行AI/ML的組織構成嚴峻威脅。一旦攻擊成功，可能導致有價值的AI模型被竊取、敏感資料外洩、AI模型回應被篡改，甚至成為攻擊者深入滲透組織網路的跳板。

此次的Triton漏洞凸顯了一個日益擴大且迅速增長的AI相關威脅類別。隨著Triton等AI工具深度嵌入企業的關鍵業務流程，許多組織的攻擊面已經擴大，而傳統的資安策略往往難以應對。新的風險類型包括AI供應鏈完整性、模型中毒、提示注入與資料洩漏等。

Ohfeld強調，攻擊者需要依序串聯利用這三個漏洞，才能從零權限達成遠端程式碼執行。每一個步驟都為下一個攻擊環節鋪路。例如，沒有第一步的資訊洩漏，攻擊者就無法得知記憶體區域的獨特名稱，也就無法利用後續的兩個漏洞。

根據Ohfeld的說法，緩解此威脅的最佳方式，是組織應立即將Nvidia Triton推論伺服器及其Python後端更新至最新修補版本25.07。Wiz也已發布指南，協助客戶偵測並處理環境中存在漏洞的實例。

值得注意的是，從攻擊難度來看，第一步的資訊洩漏漏洞相當容易利用。未經授權的遠端攻擊者無需任何事前權限，僅需在網路上掃描公開暴露的Triton推論伺服器實例即可發動攻擊。儘管將資訊洩漏推進至遠端程式碼執行需要一定的技術能力，但極低的攻擊門檻使得任何暴露在公共網路的伺服器都成為顯著的攻擊目標。

這起事件對所有使用AI技術的企業敲響了警鐘。在AI技術快速發展的同時，伴隨而來的資安風險也正在迅速擴大。台灣企業在擁抱AI技術浪潮的同時，應重新審視其資安策略，將AI相關風險納入考量。

以下是幾點值得企業思考與採取的行動：

即時更新與修補：將軟體更新視為最高優先級。許多攻擊都是利用已知的、有修補程式的漏洞。建立自動化或定期的軟體更新流程，確保所有AI相關的基礎設施（如Triton伺服器）都保持在最新版本。
網路邊界防護：檢查所有AI伺服器的網路配置，確保Triton推論伺服器不會無必要地暴露在公共網路上。透過防火牆、虛擬私有網路（VPN）或存取控制清單（ACL）來限制對伺服器的存取。
內網安全策略：即使伺服器未暴露在公網，內網中的威脅也不容忽視。部署網路分割（network segmentation）策略，限制伺服器與網路中其他設備的互動，以防止攻擊者在取得伺服器控制權後，橫向移動至網路中其他關鍵資產。
定期資安健檢：針對AI模型與推論伺服器進行定期的資安掃描與滲透測試。這不僅能發現潛在的漏洞，也能評估組織的應變能力。
供應鏈安全意識：除了自有的軟體，企業也應關注AI工具供應鏈中的安全問題。確保所使用的所有開源或商業軟體都來自可信任的來源，並定期追蹤其資安公告。

總體而言，AI安全已不再是單純的技術問題，而是需要涵蓋技術、流程與人員的全方位考量。唯有積極主動地應對這些新興威脅，企業才能在享受AI帶來的便利與競爭力時，同時保障其數位資產與資料安全。

安睿資安股份有限公司