此篇文章報導了Nvidia在6月24日針對其分散式訓練框架Megatron LM所發布的新版0.12.1更新,修補了兩個資安漏洞CVE-2025-23264和CVE-2025-23265。這兩個漏洞都存在於Megatron LM使用的特定Python元件中,若不及時修補,攻擊者可藉由惡意檔案進行程式碼注入,並可能導致程式碼執行、權限提升、資訊洩露或資料竄改,對AI系統的運作構成極大風險。根據CVSS風險評分,這些漏洞的風險高達7.8分,影響0.12.0版本及之前的所有Megatron LM版本。
作者也詳細說明了Megatron LM的用途與功能。Megatron LM是專為訓練大型語言模型(如GPT、BERT、T5)而設計的分散式深度學習框架,旨在解決訓練數十億至數千億參數的模型時,可能遭遇的運算瓶頸和記憶體限制。它與Nvidia的NeMo框架整合運作,並可通過高效能的GPU叢集(如DGX A100和H100)來進行大規模的深度學習訓練。因此,若此框架存在資安漏洞,將直接影響到AI模型的安全性與運作,可能使模型遭受攻擊或不當操控。
本文強調,隨著人工智慧的快速發展,相關的開發工具及框架越來越重要,並且當這些工具出現資安弱點時,對AI系統的風險也隨之增加。最後文章呼籲開發者應該及時更新修補漏洞,以確保AI運作的安全性,避免潛在的資料洩露和系統崩潰等問題。
