پژوهشگران امنیت سایبری مجموعهای از آسیبپذیریهای اجرای کد از راه دور (RCE) را در موتورهای استنتاج هوش مصنوعی کشف کردهاند که چندین پروژه بزرگ از جمله Meta، Nvidia، Microsoft، vLLM و SGLang را تحت تأثیر قرار میدهد.
طبق گزارش شرکت Oligo Security، تمام این نقصها به یک ریشه مشترک برمیگردند:
استفاده ناامن از ZeroMQ و مکانیزم deserialization پایتون (pickle).
این الگوی تکرارشونده که «ShadowMQ» نام گرفته، از طریق کپیبرداری و reuse کد در پروژههای مختلف تکثیر شده و باعث شده همان اشتباه امنیتی در چندین موتور استنتاج تکرار شود.
ریشه آسیبپذیری؛ نقص در فریمورک Llama متعلق به Meta
آسیبپذیری اصلی با شناسه CVE-2024-50050 (امتیاز CVSS: 6.3/9.3) سال گذشته در فریمورک Llama متعلق به Meta کشف و پچ شد.
مشکل از آنجا شروع شد که این فریمورک برای دریافت داده از شبکه از تابع recv_pyobj() در ZeroMQ استفاده میکرد؛ روشی که دادهها را با pickle deserialize میکند.
ترکیب این دو موضوع:
قرار گرفتن سوکت ZeroMQ روی شبکه
استفاده از pickle بدون احراز هویت
راه را برای اجرای کد دلخواه مهاجم باز میکرد.
این نقص در کتابخانه pyzmq نیز پچ شده است.
گسترش باگ در پروژههای دیگر
اُلیگو اعلام کرده همان الگوی ناامن در پروژههای زیر نیز مشاهده شده است:
NVIDIA TensorRT-LLM
Microsoft Sarathi-Serve
Modular Max Server
vLLM
SGLang
تمام این پروژهها از pickle روی سوکتهای ZMQ بدون احراز هویت استفاده میکردند.
در برخی موارد، فایلهای آسیبپذیر رسماً اعلام کردهاند که مستقیماً از پروژههای دیگر copy-paste شدهاند؛
این یعنی یک الگوی ناامن امنیتی بدون بررسی به پروژههای متعدد منتقل شده است.
شناسهها و وضعیت پچ ها
| پروژه | CVE | امتیاز CVSS | وضعیت |
|---|---|---|---|
| vLLM | CVE-2025-30165 | 8.0 | رفع نشده؛ فقط موتور V1 بهطور پیشفرض فعال شده |
| NVIDIA TensorRT-LLM | CVE-2025-23254 | 8.8 | پچ شده (نسخه 0.18.2) |
| Modular Max Server | CVE-2025-60455 | – | پچ شده |
| Microsoft Sarathi-Serve | – | – | هنوز پچ نشده |
| SGLang | – | – | پچ ناقص |
تأثیر امنیتی: از RCE تا سرقت مدل ها LLM
موتورهای استنتاج بخش حیاتی زیرساختهای هوش مصنوعی هستند.
نفوذ به یک نود (Node) در این معماری میتواند منجر شود به:
اجرای کد مخرب روی کل کلاستر
ارتقای سطح دسترسی
سرقت مدلهای LLM
تزریق cryptominer
Pivoting به سرویسهای دیگر
افشاگری دوم: حملات جدید علیه Cursor
در گزارشی جداگانه، پلتفرم امنیتی Knostic هشدار داده که امکان حمله به Cursor IDE از دو روش وجود دارد:
1) تزریق JavaScript از طریق یک MCP Server مخرب
یک مهاجم میتواند MCP Server جعلی بسازد تا:
صفحات لاگین IDE را با نسخه جعلی جایگزین کند
اطلاعات لاگین کاربر را به سرور خود ارسال کند
2) ساخت افزونه (Extension) مخرب
از آنجا که Cursor شاخهای از VS Code است، افزونههای مخرب میتوانند:
فایلها را تغییر دهند
رفتار IDE را دستکاری کنند
اکستنشنهای سالم را «malicious» علامت بزنند
کد مخرب را ماندگار کنند
کد JavaScript در محیط Node.js فوراً تمام دسترسیهای IDE را به ارث میبرد:
فایل سیستم، APIها، تغییر اکستنشنها، اجرای دستورات و تزریق کد پایدار.
راهکارهای دفاعی
کاربران باید:
Auto-Run را غیرفعال کنند
فقط افزونهها و MCP Serverهای معتبر نصب کنند
سطح دسترسی API Keyها را حداقلی تنظیم کنند
سورس MCP Serverها را بررسی کنند
از کتابخانههای ZeroMQ و PyZMQ بهروز استفاده کنند
