資安公司 Fuzzinglabs 發現熱門 AI 模型部署工具 Ollama 與 NVIDIA Triton Inference Server 存在多項嚴重漏洞,包括可遠端執行程式碼的命令注入漏洞。兩家廠商已發布修補程式,建議企業立即檢查並更新受影響系統。
隨著越來越多企業開始在地部署 AI 模型以保護資料隱私,相關基礎設施的資安風險也隨之浮現。Fuzzinglabs 將於 12 月 10 日在 Black Hat Europe 2025 發表這項研究,揭露 AI 推論系統(inference system)中的重大安全漏洞。
Ollama 四項漏洞威脅本地 AI 部署
Ollama 是目前最受歡迎的開源 AI 模型執行工具之一,讓使用者能在本地環境運行大型語言模型。Fuzzinglabs 在 Ollama 中發現四項漏洞,涵蓋阻斷服務、身份驗證繞過、任意檔案複製以及記憶體溢位等不同攻擊向量。
其中 CVE-2024-12886 是阻斷服務漏洞,CVSS 評分為 7.5 分,屬於高危等級。CVE-2025-51471 是身份驗證繞過漏洞,攻擊者可繞過正常的身份驗證機制未經授權存取系統。CVE-2025-48889 允許任意檔案複製,攻擊者可能利用此漏洞植入惡意程式碼或竄改關鍵檔案。第四項是堆積溢位漏洞,目前尚未分配 CVE 編號。後三項漏洞尚未獲得 CVSS 評分。
NVIDIA Triton Server 命令注入漏洞「極易利用」
相較於 Ollama 的多項漏洞,NVIDIA Triton Inference Server 雖然只發現一項漏洞,但其嚴重性更高。Fuzzinglabs 在 Triton Server 的模型配置中發現命令注入漏洞。
Fuzzinglabs 執行長 Patrick Ventuzelo 在接受 外媒訪問時表示,這個漏洞「非常嚴重,而且極易利用」。此漏洞最危險的特性在於不需要事先身份驗證,攻擊者就能可靠地達成遠端程式碼執行(RCE)。一旦漏洞被利用,攻擊者可在受影響的 Triton 伺服器上執行任意程式碼,完全控制伺服器。
AI 基礎設施成為新的攻擊面
這些漏洞的發現反映了 AI 安全研究的重要轉變。在 ChatGPT 於 2022 年 11 月公開發布後的早期階段,大部分 AI 安全研究聚焦於提示注入(prompt injection)。如今,隨著企業開始自行部署 AI 模型而非僅依賴雲端服務,AI 基礎設施本身成為更顯著的攻擊目標。
Ventuzelo 表示:「現在越來越多公司開始在自己的基礎設施中運行AI模型,這意味著他們需要運行軟體來管理這些模型,而這些軟體就會成為攻擊者感興趣的新目標。如果你在公司內部運行 Ollama 伺服器且暴露在網路上,這就是你企業攻擊面的新目標。」
企業防護建議
雖然 Ollama 與 NVIDIA 都已發布修補程式,但企業仍需主動檢視自身 AI 部署環境的安全性。Ventuzelo 提供以下建議:
- 存取控制管理:確保 AI 推論伺服器的存取控制設定正確,避免將伺服器直接暴露在公開網路上。
- 容器化隔離:確保 AI 服務運行在良好的容器環境中,並與其他關鍵系統分離,限制攻擊者的橫向移動能力。
- 立即修補更新:檢查組織內部是否使用受影響產品,並立即套用廠商釋出的安全更新。
隨著 AI 應用日益普及,AI 基礎設施的安全性將成為企業資安防護的重要一環。這次漏洞事件提醒企業,在擁抱 AI 技術的同時,也必須將相關基礎設施納入資安風險管理範疇。
本文轉載自darkreading。