近日,阿里云安全团队在AI框架供应链安全领域取得重大突破,发现全球知名深度学习框架PyTorch中存在一项高危安全漏洞(CVE-2025-32434)。该漏洞颠覆了业界长期依赖的模型加载安全机制,即使遵循官方推荐的“安全实践”,仍可能导致服务器被远程控制。目前,漏洞已获PyTorch官方确认并完成修复,相关研究成果已在全球网络安全领域顶级会议Black Hat 2025公布。
PyTorch安全基石的重新审视:从信任到挑战
作为AI开发的核心工具,PyTorch凭借其灵活性与高效性被全球开发者广泛采用。通过PaperWithCode平台的数据可以看出,绝大多数最新AI论文的开源实现都采用PyTorch框架,这充分表明PyTorch在学术界和研究社区中的占有率和影响力远超其他框架。
针对模型加载过程中可能存在的反序列化攻击风险,PyTorch团队早在版本1.8中引入了weights_only=True参数,通过限制torch.load函数仅加载模型参数(而非完整代码),旨在阻断潜在的恶意代码执行路径。这一设计被官方明确列为“模型加载安全最佳实践”,并成为AI开发者防御远程代码执行(RCE)攻击的标准手段。
然而,阿里云安全团队在对AI框架供应链进行系统性安全研究时发现,weights_only=True机制存在未被覆盖的边界条件:当加载经过特殊构造的TorchScript模型时,攻击者仍可通过特定方式绕过限制,实现任意代码执行。这一发现表明,长期以来被视为安全屏障的机制,可能在特定场景下成为攻击入口。
技术突破:从理论验证到攻击链构建
在遵循“负责任披露”原则的前提下,阿里云安全团队对漏洞进行了深度验证。研究发现,攻击者可构造包含恶意逻辑的TorchScript模型文件,利用PyTorch在解析脚本模型时对数据结构的兼容性处理,绕过weights_only=True的参数校验。通过精心设计的数据流,攻击者可在目标服务器上触发任意命令执行,从而完全控制AI服务进程。
值得注意的是,该漏洞的利用无需用户交互,且攻击载荷可伪装为合法的模型文件,隐蔽性极强。漏洞影响范围覆盖PyTorch1.8 至2.5.1版本(影响大量主流使用的版本),广泛应用于科研、工业部署及云服务场景的AI系统均面临潜在风险。
行业认可:CVE认证与Black Hat技术入选
在阿里云向PyTorch团队提交漏洞报告后,PyTorch团队快速响应,已在最新版本中通过强化类型校验与反序列化过滤机制完成漏洞修复。该漏洞被正式收录为CVE-2025-32434(CVSS评分9.8),列为“需优先升级”的高危漏洞。
此外,该项研究因技术深度与行业影响力,成功入选Black Hat USA 2025技术会议,并完成技术报告。作为全球网络安全领域的“技术风向标”,Black Hat对入选研究的原创性、威胁等级及防御价值有严苛要求。阿里云安全团队在会议上首次公开了漏洞原理、攻击链复现细节,为AI安全领域提供重要参考。
安全启示:AI基础设施的主动防御进化
阿里云安全指出,本次漏洞的发现揭示了AI框架安全的复杂性:随着模型格式的多样化(如TorchScript、ONNX等)和框架功能的持续扩展,传统安全建设可能面临新的挑战。开发者需警惕以下风险点:
- 模型来源可信验证:严格限制第三方模型的加载权限,建立模型签名与完整性校验机制;
- 最小化运行环境:在生产环境中禁用非必要的反序列化功能,隔离模型加载进程;
- 持续更新与监控:及时升级至修复版本,并通过运行时防护检测异常模型行为。
共建智能时代安全基石
作为全球领先的云计算与AI服务提供商,阿里云始终将安全视为技术创新的底线。此次漏洞的发现与披露,体现了阿里云安全团队在AI供应链安全领域的前瞻性布局与技术实力。未来,阿里云将持续投入于AI基础设施的深度安全研究,与开源社区、学术界及产业伙伴协同构建更健壮的安全防线,为智能应用的可持续发展保驾护航。
