该漏洞源自PyTorch模型反序列化的根本性设计缺陷。PyTorch使用Pickle格式存储模型权重,支持通过torch.load()加载。为防止恶意模型执行代码,官方文档强烈推荐使用weights_only=True参数,理论上仅允许加载”字典、张量、列表”等原始数据类型。
漏洞突破:安全研究员Ji’an Zhou发现该参数的”保险丝”可被绕过。攻击者可创建特殊构造的模型文件,使得当weights_only=True时,反序列化验证机制失效,从而在模型加载时执行任意Python代码——获得与PyTorch进程相同的系统权限。
攻击场景:
供应链污染:恶意者向Hugging Face上传带后门的预训练模型,开发者下载并集成到应用,自动触发RCE
云环境横向移动:被入侵的模型可作为跳板,访问云存储(S3、GCS)或数据库凭证
大规模部署危险:PyTorch用户数百万,涉及自动驾驶、医疗诊断、金融模型等关键领域
技术深度:漏洞在于Pickle反序列化器按顺序解释操作码,一旦遇到恶意指令即执行,无需等待全文验证。攻击者可将恶意负载插入文件开头,触发代码后再插入破坏文件结构的字节,逃过Picklescan等黑名单工具的检测。
修复与影响:PyTorch 2.6.0已发布补丁,但企业升级周期存在滞后。建议:禁用不可信来源的模型、启用SafeTensors格式替代、实施模型文件完整性验证(hash校验)、隔离模型加载环境。
