Pytorch’ta yaygın olarak kullanılan açık kaynak makine öğrenme çerçevesi olan Pytorch’ta yeni açıklanan kritik bir güvenlik açığı (CVE-2025-32434), saldırganların AI modellerini yükleyen sistemlerde keyfi kod yürütmesine izin verir-ağırlıklar_only = true gibi güvenlik önlemleri etkin olsa bile.
Kusur, tüm Pytorch sürümlerini ≤2.5.1 etkiler ve bu hafta başında yayınlanan 2.6.0 sürümünde yamalanmıştır.
| CVE kimliği | Şiddet | Etkilenen sürümler | Yamalı versiyon |
| CVE-2025-32434 | Eleştirel | Pytorch ≤2.5.1 (PIP) | 2.6.0 |
Güvenlik Açığı Genel Bakış
Kusur, serileştirilmiş AI modellerini yüklemek için yaygın olarak kullanılan Pytorch’un Torch.load () işlevinde bulunur.
.png
)
Feights_only = true’u etkinleştirmenin daha önce veri yüklemesini ağırlıklara kısıtlayarak güvensiz kod yürütülmesini önlediğine inanılıyor olsa da, güvenlik araştırmacısı Ji’an Zhou, saldırganların uzak komutları yürütmek için bu güvenliği atlayabileceğini gösterdi.
Bu, Pytorch’un belgesinde, kötü niyetli modellere karşı bir hafifletme olarak açıkça önerilen temel bir güvenlik varsayımını zayıflatır.
Çıkarma boru hatlarını, federasyonlu öğrenme sistemlerini veya model merkezlerini korumak için bu ortamı kullanan kuruluşlar artık uzaktan devralma riski altındadır.
- Sömürü senaryosu: Saldırganlar, kamu depolarına veya tedarik zincirlerine kurcalanmış modelleri yükleyebilirler. Bu tür modellerin yüklenmesi, kurban sistemlerinde kod uygulamasını tetikler.
- Etkilenen iş akışları: Torch.load () kullanarak herhangi bir uygulama, bulut hizmeti veya araştırma aracı.
- Şiddet: Derecelendirilmiş eleştirel sömürü kolaylığı ve tam sistem uzlaşması potansiyeli nedeniyle.
- Hemen yükselt PIP yüklemesi yoluyla pytorch 2.6.0 için pytorch.
- Mevcut modelleri denetleyin: Güvenilmeyen kaynaklardan yüklenen modellerin bütünlüğünü doğrulayın.
- Monitör tavsiyeleri: Pytorch’un GitHub Güvenlik Sayfası veya GitHub Danışmanlığı (GHSA-53Q9-R3PM-6PQ6) aracılığıyla güncellemeleri izleyin.
Pytorch ekibi, “Bu konu ML güvenliğinin gelişen doğasını vurgulamaktadır. Tüm kullanıcıları hemen güncellemeye ve şüpheli model davranışını bildirmeye çağırıyoruz.”
Pytorch, başlangıçlardan Meta ve Microsoft gibi teknoloji devlerine kadar uzanan kullanıcılarla AI araştırma ve dağıtımının temelini oluşturuyor.
Bu güvenlik açığı, verileri çalabilecek, hizmetleri bozabilecek veya kaynakları kaçırabilecek saldırılara kritik altyapı ortaya çıkarır.
Yapay zeka evlat edinme büyüdükçe, model boru hatlarını güvence altına almak çok önemlidir. CVE-2025-32434, güvenilir korumaların bile sürekli inceleme gerektirdiğini kesin bir hatırlatma görevi görür.
Pytorch kurulumlarını, denetim model kaynaklarını güncelleyin ve tüm üçüncü taraf AI eserlerini doğrulanana kadar potansiyel saldırı vektörleri olarak ele alın.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!