NVIDIAの脆弱性により、攻撃者がAI推論サーバーを乗っ取る可能性がある

3アストラペンテスト

Tritonは、異なるフレームワークの複数の人工知能モデルをCPUまたはGPU上で同時に実行・管理できるオープンソースソフトウェア製品です。Tritonは、学習済みのAIモデルに未知の入力データに基づいて予測や出力生成を依頼する推論リクエストを、適切なモデルにルーティングします。攻撃者がこのようなリクエストを悪用した場合、サーバーを完全に制御される可能性があります。

5月にこの脆弱性を発見しNVIDIAに開示したWizの研究者は、技術概要の中で次のように書いている。「これは、TritonをAI/MLに使用している組織にとって重大なリスクをもたらします。攻撃が成功すると、貴重なAIモデルの盗難、機密データの漏洩、AIモデルの応答の操作、そして攻撃者がネットワークの奥深くまで侵入するための足掛かりとなる可能性があります。」

攻撃チェーンを許す3つの脆弱性は、CVE-2025-23319、CVE-2025-23320、CVE-2025-23334と命名されており、いずれもTriton Inference Serverバージョン25.07より前に存在します。NVIDIAは、すべてのユーザーに対し、GitHubのTriton Inference Serverリリースページから最新のアップデートをインストールすることを推奨しています。このアップデートでは、他の14件の脆弱性も修正されています。

攻撃チェーンはどのように機能しますか?

1. 攻撃者はまず、インターネットで簡単な検索を行い、公開されているTriton推論サーバーインスタンスを見つけます。次に、特別に細工した大きなリクエストをサーバーに送信し、エラーメッセージを表示します。エラーメッセージには、バックエンドの内部IPC共有メモリ領域の完全かつ一意の名前が含まれていますが、これは本来は非公開にしておくべき情報です。
2. 次に、この名前を使ってTritonの機能にアクセスし、その名前付き共有メモリ領域内のデータの読み書きを可能にします。この機能の目的は、承認されたユーザーがモデルにデータをより効率的に渡し、推論を高速化できるようにすることです。しかし残念ながら、Tritonは共有メモリ領域がアクセスを要求しているユーザーのものであるのか、それとも誰もアクセスすべきではないプライベート領域なのかを検証しません。
3. 攻撃者は共有メモリ領域を利用して推論リクエストを作成し、サーバーを完全に制御できるようになります。例えば、リクエストに悪意のあるIPCメッセージを含めることで、サーバーを騙して悪意のあるAIモデルをロードさせたり、セキュリティチェックを回避させたりすることが可能です。

AIインフラストラクチャは攻撃対象領域を拡大する

NVIDIAは最近、人気のAIインフラストラクチャエコシステムにおける複数の脆弱性に対処する必要に迫られました。先月には、Wizによって発見された別の脆弱性を修正しました。この脆弱性は、攻撃者がNVIDIA Container Toolkitのコンテナ境界を回避し、ホストマシンへの完全なルートアクセスを取得する可能性を秘めていました。

これらは、AI が重要なワークフローに組み込まれ続けるにつれて、セキュリティ チームは AI をサポートするインフラストラクチャの攻撃対象領域が拡大していることを見逃してはならないことを思い出させてくれます。

中国は、NVIDIAのH20 AIチップが密かにユーザーを追跡したり遠隔操作でシャットダウンさせられたりする可能性があるという主張について同社を捜査している。これは米国の輸出制限が緩和されてからわずか数週間後のことであり、大きな打撃となっている。