Phát hiện lỗi AI nghiêm trọng làm lộ khung suy luận Meta, Nvidia và Microsoft

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra các lỗ hổng thực thi mã từ xa quan trọng ảnh hưởng đến các công cụ suy luận trí tuệ nhân tạo (AI) lớn, bao gồm các công cụ từ Meta, Nvidia, Microsoft và các dự án PyTorch nguồn mở như vLLM và SGLang.

Nhà nghiên cứu Avi Lumelsky của Oligo Security cho biết trong báo cáo được công bố hôm thứ Năm: "Tất cả các lỗ hổng bảo mật này đều bắt nguồn từ cùng một nguyên nhân gốc rễ: việc sử dụng ZeroMQ (ZMQ) không an toàn và tính năng hủy tuần tự hóa pickle của Python bị bỏ qua".

Về bản chất, vấn đề bắt nguồn từ cái được mô tả là một mẫu gọi là ShadowMQ, trong đó logic hủy tuần tự hóa không an toàn đã lan truyền sang một số dự án do việc tái sử dụng mã.

Nguyên nhân gốc rễ là lỗ hổng trong nền tảng mô hình ngôn ngữ lớn (LLM) Llama của Meta ( CVE-2024-50050, điểm CVSS: 6.3/9.3) đã được công ty vá vào tháng 10 năm ngoái. Cụ thể, lỗ hổng này liên quan đến việc sử dụng phương thức recv_pyobj() của ZeroMQ để giải tuần tự hóa dữ liệu đầu vào bằng mô-đun pickle của Python.

Điều này, cùng với việc framework này đã để lộ socket ZeroMQ qua mạng, đã mở ra cánh cửa cho một kịch bản mà kẻ tấn công có thể thực thi mã tùy ý bằng cách gửi dữ liệu độc hại để giải tuần tự hóa. Vấn đề này cũng đã được giải quyết trong thư viện Python pyzmq.

Oligo sau đó đã phát hiện ra cùng một kiểu mẫu lặp lại trong các khuôn khổ suy luận khác, chẳng hạn như NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM và SGLang.

"Tất cả đều chứa các mẫu không an toàn gần như giống hệt nhau: giải tuần tự hóa pickle qua các socket TCP ZMQ chưa được xác thực", Lumelsky nói. "Các nhà bảo trì và dự án khác nhau do các công ty khác nhau quản lý – tất cả đều mắc cùng một lỗi."

Truy tìm nguồn gốc của vấn đề, Oligo phát hiện ra rằng trong ít nhất một vài trường hợp, nó là kết quả của việc sao chép-dán trực tiếp mã. Ví dụ, tệp dễ bị tấn công trong SGLang cho biết nó được vLLM điều chỉnh, trong khi Modular Max Server lại mượn cùng một logic từ cả vLLM và SGLang, khiến cùng một lỗ hổng tồn tại trên nhiều cơ sở mã.

Các vấn đề đã được gán các mã định danh sau:

    CVE-2025-30165 (Điểm CVSS: 8.0) - vLLM (Mặc dù sự cố chưa được khắc phục nhưng đã được giải quyết bằng cách chuyển sang công cụ V1 theo mặc định)
    CVE-2025-23254 (Điểm CVSS: 8,8) - NVIDIA TensorRT-LLM (Đã sửa trong phiên bản 0.18.2)
    CVE-2025-60455 (Điểm CVSS: N/A) - Máy chủ Max mô-đun (Đã sửa)
    Sarathi-Serve (Vẫn chưa được vá)
    SGLang (Đã triển khai các bản sửa lỗi chưa hoàn chỉnh )

Với các công cụ suy luận đóng vai trò là thành phần quan trọng trong cơ sở hạ tầng AI, việc xâm nhập thành công một nút duy nhất có thể cho phép kẻ tấn công thực thi mã tùy ý trên cụm, leo thang đặc quyền, thực hiện hành vi trộm cắp mô hình và thậm chí thả các phần mềm độc hại như trình khai thác tiền điện tử để kiếm lợi nhuận.

"Các dự án đang tiến triển với tốc độ chóng mặt, và việc mượn các thành phần kiến trúc từ các đồng nghiệp là điều thường thấy", Lumelsky nói. "Nhưng khi việc tái sử dụng mã nguồn bao gồm các mẫu không an toàn, hậu quả sẽ lan rộng rất nhanh."

Tiết lộ này được đưa ra trong bối cảnh nền tảng bảo mật AI Knostic phát hiện ra rằng có thể xâm phạm trình duyệt tích hợp mới của Cursor thông qua các kỹ thuật chèn JavaScript, chưa kể đến việc lợi dụng tiện ích mở rộng độc hại để tạo điều kiện cho việc chèn JavaScript nhằm kiểm soát máy trạm của nhà phát triển.

Cuộc tấn công đầu tiên liên quan đến việc đăng ký một máy chủ Giao thức bối cảnh mô hình ( MCP ) cục bộ giả mạo bỏ qua các điều khiển của Cursor để cho phép kẻ tấn công thay thế các trang đăng nhập trong trình duyệt bằng một trang giả mạo thu thập thông tin đăng nhập và đưa chúng đến một máy chủ từ xa do chúng kiểm soát.

Nhà nghiên cứu bảo mật Dor Munis cho biết: "Khi người dùng tải xuống máy chủ MCP và chạy nó bằng tệp mcp.json trong Cursor, nó sẽ chèn mã vào trình duyệt của Cursor, dẫn người dùng đến một trang đăng nhập giả mạo, đánh cắp thông tin đăng nhập của họ và gửi đến một máy chủ từ xa ".

Do trình soạn thảo mã nguồn hỗ trợ AI về cơ bản là một nhánh của Visual Studio Code, nên kẻ xấu cũng có thể tạo ra một tiện ích mở rộng độc hại để đưa JavaScript vào IDE đang chạy nhằm thực hiện các hành động tùy ý, bao gồm cả việc đánh dấu các tiện ích mở rộng Open VSX vô hại là "độc hại".

Công ty cho biết: "JavaScript chạy bên trong trình thông dịch Node.js, cho dù được đưa vào thông qua tiện ích mở rộng, máy chủ MCP hay lời nhắc hoặc quy tắc bị nhiễm độc, đều ngay lập tức kế thừa các đặc quyền của IDE: quyền truy cập toàn bộ vào hệ thống tệp, khả năng sửa đổi hoặc thay thế các hàm IDE (bao gồm cả tiện ích mở rộng đã cài đặt) và khả năng duy trì mã được gắn lại sau khi khởi động lại ".

"Khi khả năng thực thi ở cấp độ thông dịch có sẵn, kẻ tấn công có thể biến IDE thành nền tảng phân phối và xâm nhập phần mềm độc hại."

Để chống lại những rủi ro này, điều cần thiết là người dùng phải tắt tính năng Tự động chạy trong IDE của họ, kiểm tra tiện ích mở rộng, cài đặt máy chủ MCP từ các nhà phát triển và kho lưu trữ đáng tin cậy, kiểm tra dữ liệu và API mà máy chủ truy cập, sử dụng khóa API với quyền tối thiểu bắt buộc và kiểm tra mã nguồn máy chủ MCP để tìm các tích hợp quan trọng.