再獲國際認可！阿里雲發現深度學習框架PyTorch高危漏洞，入選全球頂會Black Hat

（來源：阿里安全響應中心）

近日，阿里雲安全團隊在AI框架供應鏈安全領域取得重大突破，發現全球知名深度學習框架PyTorch中存在一項高危安全漏洞（CVE-2025-32434）。該漏洞顛覆了業界長期依賴的模型加載安全機制，即使遵循官方推薦的「安全實踐」，仍可能導致服務器被遠程控制。目前，漏洞已獲PyTorch官方確認並完成修復，相關研究成果已在全球網絡安全領域頂級會議Black Hat 2025公佈。

PyTorch安全基石的重新審視

從信任到挑戰

作為AI開發的核心工具，PyTorch憑藉其靈活性與高效性被全球開發者廣泛採用。通過 PaperWithCode平臺的數據可以看出，絕大多數最新AI論文的開源實現都採用PyTorch框架，這充分表明PyTorch在學術界和研究社區中的佔有率和影響力遠超其他框架。

針對模型加載過程中可能存在的反序列化攻擊風險，PyTorch團隊早在版本1.8中引入了weights_only=True參數，通過限制torch.load函數僅加載模型參數（而非完整代碼），旨在阻斷潛在的惡意代碼執行路徑。這一設計被官方明確列為「模型加載安全最佳實踐」，併成為AI開發者防禦遠程代碼執行（RCE）攻擊的標準手段。

然而，阿里雲安全團隊在對AI框架供應鏈進行系統性安全研究時發現，weights_only=True機制存在未被覆蓋的邊界條件：當加載經過特殊構造的TorchScript模型時，攻擊者仍可通過特定方式繞過限制，實現任意代碼執行。這一發現表明，長期以來被視為安全屏障的機制，可能在特定場景下成為攻擊入口。

技術突破

從理論驗證到攻擊鏈構建

在遵循「負責任披露」原則的前提下，阿里雲安全團隊對漏洞進行了深度驗證。研究發現，攻擊者可構造包含惡意邏輯的TorchScript模型文件，利用PyTorch在解析腳本模型時對數據結構的兼容性處理，繞過weights_only=True的參數校驗。通過精心設計的數據流，攻擊者可在目標服務器上觸發任意命令執行，從而完全控制AI服務進程。

值得注意的是，該漏洞的利用無需用户交互，且攻擊載荷可偽裝為合法的模型文件，隱蔽性極強。漏洞影響範圍覆蓋PyTorch1.8 至2.5.1版本（影響大量主流使用的版本），廣泛應用於科研、工業部署及雲服務場景的AI系統均面臨潛在風險。

行業認可

CVE認證與Black Hat技術入選

在阿里雲向PyTorch團隊提交漏洞報告后，PyTorch團隊快速響應，已在最新版本中通過強化類型校驗與反序列化過濾機制完成漏洞修復。該漏洞被正式收錄為CVE-2025-32434（CVSS評分9.8），列為「需優先升級」的高危漏洞。

此外，該項研究因技術深度與行業影響力，成功入選Black Hat USA 2025技術會議，並完成技術報告。作為全球網絡安全領域的「技術風向標」，Black Hat對入選研究的原創性、威脅等級及防禦價值有嚴苛要求。阿里雲安全團隊在會議上首次公開了漏洞原理、攻擊鏈復現細節，為AI安全領域提供重要參考。

安全啟示

AI基礎設施的主動防禦進化

阿里雲安全指出，本次漏洞的發現揭示了AI框架安全的複雜性：隨着模型格式的多樣化（如TorchScript、ONNX等）和框架功能的持續擴展，傳統安全建設可能面臨新的挑戰。開發者需警惕以下風險點：

模型來源可信驗證：嚴格限制第三方模型的加載權限，建立模型簽名與完整性校驗機制；

最小化運行環境：在生產環境中禁用非必要的反序列化功能，隔離模型加載進程；

持續更新與監控：及時升級至修復版本，並通過運行時防護檢測異常模型行為。

共建智能時代安全基石

作為全球領先的雲計算與AI服務提供商，阿里雲始終將安全視為技術創新的底線。此次漏洞的發現與披露，體現了阿里雲安全團隊在AI供應鏈安全領域的前瞻性佈局與技術實力。未來，阿里雲將持續投入於AI基礎設施的深度安全研究，與開源社區、學術界及產業夥伴協同構建更健壯的安全防線，為智能應用的可持續發展保駕護航。