Gigantyczna luka w NVIDIA! Dane użytkowników zagrożone
Krytyczna luka bezpieczeństwa w NVIDIA Triton Inference Server stawia pod znakiem zapytania bezpieczeństwo nowoczesnych serwerów AI.
Eksperci z firmy Wiz ujawnili, że błąd pozwala atakującym na nieautoryzowane pełne przejęcie kontroli nad serwerami wykorzystywanymi do obsługi modeli sztucznej inteligencji, w tym dane milionów użytkowników.
Luka została oznaczona jako CVE-2025-23319, CVE-2025-23320 i CVE-2025-23334. Pozwala ona atakującym na wykorzystanie łańcucha błędów, począwszy od ujawnienia informacji przez backend Pythona, aż po zdalne wykonanie kodu.
Atak polega na wysyłaniu dużych, odpowiednio spreparowanych zapytań, które ujawniają nazwy wewnętrznych obszarów pamięci serwera. Następnie hakerzy mogą manipulować kluczowymi strukturami danych, co umożliwia im przejęcie kontroli.
Szczególnie zagrożone są firmy korzystające z Triton Inference Server na szeroką skalę oraz użytkownicy, którzy nie mają pojęcia na jakich serwerach znajdują się ich dane. Luka dotyczy nie tylko modeli Pythona, ale także innych backendów zależnych od tego środowiska.
Skutki ataku to nie tylko kradzież modeli i danych, ale też potencjalna manipulacja odpowiedziami AI oraz możliwość dalszego rozprzestrzeniania się złośliwego kodu po sieci ofiary.
NVIDIA zareagowała błyskawicznie, wydając poprawki w wersji 25.07. Eksperci zalecają natychmiastową aktualizację, aby uniknąć poważnych konsekwencji dla siebie i swoich klientów.
