22/04/25
Проблема затрагивает все версии до 2.5.1 включительно и позволяет выполнять произвольный код на системе жертвы при загрузке ИИ-моделей. Особую тревогу вызывает тот факт, что эксплойт работает даже при включённой опции weights_only=true, которую ранее считали надёжной защитой, пишет Securitylab.Уязвимость кроется в функции torch.load(), с помощью которой в PyTorch загружаются сериализованные модели. До сих пор разработчики рекомендовали использовать параметр weights_only=true, чтобы исключить выполнение вредоносного кода из сторонних моделей. Однако исследователь безопасности Цзянь Чжоу доказал, что обход этой защиты возможен, и это ставит под угрозу широкий спектр рабочих сценариев — от инференса и федеративного обучения до публичных хранилищ моделей.
Злоумышленники могут подменять модели в открытых репозиториях или внедрять их в цепочку поставок ПО. Достаточно загрузить такую подделку — и на машине запустится вредоносный код. Таким образом, риску подвержены не только отдельные приложения, но и целые облачные сервисы и исследовательские платформы, где используется torch.load() с устаревшими версиями PyTorch.
Серьёзность угрозы подтверждает и её классификация: критический уровень опасности (CVSS: 9.8) обусловлен лёгкостью эксплуатации и потенциальным ущербом — от кражи данных до полного захвата управления системой. PyTorch используется как в стартапах, так и в инфраструктуре таких гигантов, как Meta и Microsoft, что делает масштаб возможной атаки особенно значительным.
Разработчики уже выпустили обновление — версия 2.6.0, где проблема устранена. Обновление доступно через стандартный пакетный менеджер pip. Команда PyTorch признала важность инцидента и призвала всех пользователей как можно скорее перейти на новую версию и проявлять осторожность при работе с несертифицированными моделями.
