NVIDIA’nın Merlin Transformers4REC kütüphanesinde kritik bir güvenlik açığı, saldırganların kök ayrıcalıklarıyla uzaktan kod yürütülmesine izin verir.
Trend Micro Sıfır Günü Girişimi (ZDI) Tehdit Av Ekibi tarafından keşfedilen kusur, model kontrol noktası yükleme işlevinde güvenli olmayan seansizasyondan kaynaklanmaktadır.
CVE-2025-23298 olarak izlenen bu güvenlik açığı, Python’un turşu serileştirmesine dayanan makine öğrenimi çerçevelerinde kalıcı güvenlik zorluklarının altını çiziyor.
Güvensiz serileştirmenin keşfi
Tedarik zinciri riskleri için ML/AI çerçevelerini denetlerken, ZDI araştırmacıları modellerin nasıl ısrar edildiğine ve yüklendiğine odaklandı.
Transformers4Rec’in load_model_trainer_states_from_checkpoint işlevinde, Pytorch’un Torch.oad (), kum havuzu veya sınıf kısıtlamaları olmadan kullanılır.
| CVE | Etkilenen ürün | Darbe | CVSS 3.1 puanı |
| CVE-2025-23298 | Nvidia Merlin Transformers4Rec | Kök olarak uzaktan kod yürütme | 9.8 |
Torch.load () Python’un turşu protokolünü kullandığından, serileştirme sırasında keyfi kod yürütebilir.
ZDI, hazırlanmış bir kontrol noktası dosyasının yüklenmesinin, model durumunu geri yüklerken derhal kök seviyesi komutlarını tetikleyebileceğini doğruladı.
Riski göstermek için araştırma ekibi, azaltma yöntemi sistem komutlarını çağıran kötü amaçlı bir kontrol noktası nesnesi oluşturdu.
Torch.save () kötü amaçlı nesneyi bir kontrol noktasına yazdığında ve Torch.load () daha sonra okuduğunda, herhangi bir model ağırlığı işlenmeden önce saldırganın yükü çalışır.
ML hizmetlerinin genellikle yüksek ayrıcalıklarla çalıştığı üretim ortamlarında, bu tam sistem uzlaşmasına yol açar.
İstismar verileri dışarı atabilir, backdoors yükleyebilir ve ağ içindeki diğer sistemlere dönebilir.
NVIDIA, Transformers4REC MAMIT B7EAEA5 (PR #802) ‘de güvenlik açığını yamaladı ve doğrudan turşu çağrılarını onaylanmış sınıflarla sınırlayan özel bir yükleyici ile değiştirdi.
Yeni uygulama, restorasyondan önce nesne türlerini doğrulamak için Serialization.py’de güvenli bir yük () işlevi kullanır.
Benzer sorunları önlemek için, geliştiriciler güvenilmeyen turşu verilerinden kaçınmalı, Pytorch’un ağırlıkları_only = true seçeneğini kullanmalı ve SafeTensors veya ONNX gibi daha güvenli formatları benimsemelidir.
Kuruluşlar model provenans kontrollerini uygulamalı, işaret kontrol noktalarını kriptografik olarak ve sanal alan model yüklemesi yapmalıdır.
Bu güvenlik açığı, ML/AI ekosistemlerinde güvenli serileştirme standartlarına acil ihtiyacı vurgular ve turşu tabanlı iş akışlarının uzun süredir devam eden topluluk uyarılarına rağmen kritik bir saldırı vektörü olarak kaldığını gösterir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.