利用NVIDIA Triton服务器漏洞链可实现AI系统远程接管|模型上下文协议(MCP)十大安全漏洞解析

Part01

漏洞概述

RCE漏洞威胁AI基础设施安全

研究人员新发现的NVIDIA Triton Inference Server（Windows/Linux版）安全漏洞，可使未经身份验证的远程攻击者完全控制受影响服务器。Wiz研究团队指出，组合利用这些漏洞可实现远程代码执行（RCE），对AI基础设施构成严重威胁。
Triton Inference Server是一款开源的AI推理服务软件，支持部署来自TensorRT、TensorFlow、PyTorch、ONNX、OpenVINO、Python、RAPIDS FIL等多种深度学习框架的AI模型。Part02

漏洞链导致完全控制

Wiz研究团队在报告中指出：”这些关键漏洞组合利用后，可使未经认证的远程攻击者获得服务器完全控制权，实现远程代码执行。”攻击始于Triton的Python后端，通过信息泄露漏洞逐步升级至系统完全沦陷，威胁AI模型、数据及网络安全。
NVIDIA在收到漏洞报告后迅速发布修复补丁。这些编号为CVE-2025-23319、CVE-2025-23320和CVE-2025-23334的漏洞凸显了用户立即升级的紧迫性。Part03

漏洞技术细节

以下是三个漏洞的具体描述：

• CVE-2025-23319（CVSS评分8.1）：Python后端存在越界写入漏洞，攻击者发送特制请求可能导致远程代码执行、服务拒绝、数据篡改或信息泄露
• CVE-2025-23320（CVSS评分7.5）：Python后端存在共享内存限制绕过漏洞，攻击者发送超大请求可导致信息泄露
• CVE-2025-23334（CVSS评分5.9）：Python后端存在越界读取漏洞，攻击者发送特制请求可能导致信息泄露

上述漏洞已在25.07版本中修复。Part04

潜在危害与安全建议

研究人员警告，控制Triton服务器可能导致严重后果：窃取专有AI模型、泄露敏感数据、篡改AI输出结果，以及以沦陷服务器为跳板渗透企业内网。
报告总结指出：”一个组件的详细错误信息、主服务器中可能被滥用的功能，都足以构成系统沦陷的路径。随着AI/ML技术广泛应用，保障底层基础设施安全至关重要。这一发现凸显了纵深防御的重要性，安全防护需覆盖应用每一层。”
目前尚未发现这些漏洞在野利用的情况。

参考来源：

Chaining NVIDIA’s Triton Server flaws exposes AI systems to remote takeover

https://securityaffairs.com/180793/security/chaining-nvidias-triton-server-flaws-exposes-ai-systems-to-remote-takeover.html
开源标准Model Context Protocol（模型上下文协议，MCP）使AI系统无需集成即可与各类数据源、工具和服务交互，为Agentic AI（代理型人工智能）奠定基础。但企业在采用MCP服务器作为AI战略组成部分时，必须警惕相关安全风险。本文系统梳理了MCP协议的十大关键漏洞。
Part01

跨租户数据泄露

类似跨站脚本攻击，跨租户数据泄露允许一组用户访问其他用户数据，可能影响内部团队、业务伙伴及客户。该漏洞已在Asana的MCP服务器实现中被发现。安全公司UpGuard建议通过强制租户隔离和实施最小权限原则来防范。

Part02

隐蔽提示注入

攻击者伪装成员工或客户向人工客服发送请求，其中嵌入仅AI可读的隐蔽指令。若客服将请求转交能访问敏感数据的AI助手，将造成严重危害。防护措施包括：

• 实施最小权限原则
• 实时检测可疑提示内容
• 完整记录MCP活动审计日志

Part03

工具投毒

现成的MCP服务器下载包可能暗藏风险。恶意版本会篡改描述字段以绕过加密措施窃取数据。攻击面包括：

• 函数名称
• 参数及默认值
• 错误消息
• 后续提示字段

防范建议：

• 验证下载源可信度
• 检查权限请求合理性
• 尽可能审查源代码
• 持续监控软件供应链安全

Part04

公开提示注入

攻击者通过在GitHub等公开平台创建含恶意指令的Issue，诱导检查该仓库的AI代理执行数据泄露操作。虽然GitHub服务器未被入侵，但成为了攻击渠道。尽管人工确认每个工具调用是最佳实践，但多数用户已采用”始终允许”策略。Part05

令牌窃取

当OAuth令牌以明文形式存储在MCP配置文件中时，攻击者可通过后门或社工手段窃取。与常规账户劫持不同，通过MCP使用被盗令牌的API访问看起来完全合法，增加了检测难度。以Gmail账户为例，攻击者可获取完整邮件记录、发送伪造邮件或设置监控规则。Part06

组合链攻击

使用未经审查的第三方MCP服务器时，其可能向次级远程服务器发起请求。次级服务器返回看似合法但包含隐藏恶意指令的输出，经组合后传递给AI代理执行。该方法可窃取环境变量中的敏感数据，且无需与恶意服务器建立直接连接。Part07

用户疲劳

即使要求人工审批所有AI代理操作，恶意MCP服务器仍可通过海量无害请求（如读取权限申请）使用户产生审批疲劳，最终忽视隐藏其中的危险指令。该攻击原理与MFA疲劳攻击类似，都是通过持续请求迫使用户降低警惕。Part08

管理员绕过

当MCP服务器未配置身份验证时，低权限用户可能通过AI代理获取超出其访问级别的信息。若该服务器同时对外开放，将导致更严重的权限提升风险。Part09

命令注入

若MCP服务器未经验证直接转发用户输入，攻击者可注入恶意命令（类似SQL注入）。防护措施包括：

• 严格验证所有用户输入
• 使用参数化命令
• 禁止直接将输入传递给shell命令

Part10

工具影子攻击

当AI代理可访问多个MCP服务器时，恶意服务器可能诱导其不当使用其他服务器。例如医疗场景中，表面提供症状查询的恶意服务器可暗中指令AI代理通过正常计费系统泄露患者数据。

参考来源：

Wie Model Context Protocol gehackt wird

https://www.csoonline.com/article/4032065/wie-model-context-protocol-gehackt-wird.html

文章来源：FreeBuf