北京赛克艾威科技有限公司 2026-03-30
vLLM是一个高性能的大模型推理框架,专为大规模语言模型的高吞吐量、低延迟部署而设计。其核心特性包括PagedAttention高效内存管理、并行化调度优化以及对多GPU、分布式环境的良好支持。vLLM兼容Hugging Face接口,便于模型快速加载与集成,广泛用于推理服务、AI应用后端与生产级模型部署场景。2026年3月27日,启明星辰安全应急响应中心(VSRC)监测到vLLM trust\_remote\_code绕过远程代码执行漏洞。该漏洞存在于vllm/model\_executor/models/nemotron\_vl.py和vllm/model\_executor/models/kimi\_k25.py文件中,由于代码中硬编码设置trust\_remote\_code\=True,导致用户显式配置trust\-remote\-code\=False被绕过。攻击者可通过构造恶意HuggingFace模型仓库,在模型加载过程中执行任意Python代码,获取服务器执行权限,进而实现系统控制、数据窃取或横向移动。该漏洞破坏了trust\_remote\_code安全机制的信任边界,可能导致敏感数据泄露及服...
暂无
https://github.com/vllm-project/vllm/security/advisories/GHSA-7972-pg2x-xr59/
https://www.venustech.com.cn/new_type/aqtg/20260327/29270.html