Критическая уязвимость в библиотеке vLLM позволяет удаленно выполнить код в системах ИИ

Специалисты по кибербезопасности и разработчики систем искусственного интеллекта столкнулись с новой серьезной угрозой. В популярной библиотеке vLLM, которая используется для эффективного обслуживания больших языковых моделей (LLM), обнаружена критическая уязвимость. Эксперты Банка данных угроз (BDU) присвоили ей идентификатор BDU:2026-03420, соответствующий международному CVE-2025-47277.

Детали уязвимости

Эта уязвимость затрагивает механизм десериализации в компоненте PyNcclPipe. По сути, злоумышленник может отправить специально сконструированные данные, которые при обработке библиотекой позволят выполнить произвольный код на целевом сервере. Учитывая, что vLLM часто развертывается в продуктивных средах для работы с мощными моделями наподобие ChatGPT, потенциальные последствия взлома чрезвычайно высоки.

Уязвимость классифицируется как проблема архитектуры типа "Восстановление в памяти недостоверных данных" (CWE-502). Ей подвержены версии vLLM начиная с 0.6.5 и вплоть до 0.8.5. Оценка по метрикам CVSS подтверждает максимальный уровень опасности. Базовый балл CVSS 2.0 достигает 10.0, а по более современной версии CVSS 3.1 уязвимость оценивается в 9.8 баллов из 10. Все векторы атаки имеют высшие значения: для эксплуатации не требуются привилегии (PR:N) или действия пользователя (UI:N), атака возможна удаленно через сеть (AV:N), а сложность её низкая (AC:L). В результате успешной атаки злоумышленник получает полный контроль над системой (C:H/I:H/A:H).

Важно отметить, что, согласно данным BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Следовательно, риск активной эксплуатации значительно возрастает. Злоумышленники, особенно из числа APT, могут использовать эту брешь для получения первоначального доступа к инфраструктуре компаний, занимающихся разработкой ИИ. После этого они могут развернуть вредоносное ПО, установить механизм постоянного присутствия (persistence) или похитить конфиденциальные данные и сами модели.

Производитель, vLLM Project, оперативно отреагировал на сообщение об уязвимости. Проблема была подтверждена, а затем устранена. Исправление было внедрено в рамках коммита в репозитории GitHub. Основным и единственным надежным способом устранения угрозы является немедленное обновление программного обеспечения до версии, вышедшей после исправления уязвимости. Разработчики настоятельно рекомендуют всем пользователям обновить свои развертывания vLLM.

Для тех, кто по каким-либо причинам не может мгновенно выполнить обновление, необходимо принять дополнительные меры защиты. Прежде всего, следует строго ограничить сетевой доступ к экземплярам vLLM, разрешив его только из доверенных сегментов сети. Кроме того, рекомендуется пересмотреть общую архитектуру безопасности развертываний ИИ, руководствуясь лучшими практиками, такими как MITRE ATT&CK для ML. Например, важно обеспечить изоляцию сред выполнения моделей и мониторинг аномальной активности.

Данный инцидент ярко иллюстрирует растущие риски в области безопасности машинного обучения (ML Security). Инфраструктура для обслуживания ИИ-моделей становится все более сложной, включая множество компонентов и библиотек. Каждый такой компонент потенциально увеличивает площадь для атаки. Следовательно, уязвимость в ключевой библиотеке, такой как vLLM, ставит под угрозу всю систему.

Таким образом, обнаружение CVE-2025-47277 служит серьезным напоминанием для индустрии. Командам, отвечающим за развертывание ИИ, необходимо внедрять практики безопасной разработки (DevSecOps) и регулярно проводить аудит зависимостей. Кроме того, критически важно оперативно применять выпущенные исправления безопасности. Безопасность систем искусственного интеллекта требует такого же пристального внимания, как и безопасность традиционного программного обеспечения, поскольку последствия их компрометации могут быть катастрофическими.

Детали уязвимости

Ссылки