近日,英伟达发布关键安全补丁,修复其Isaac-GR00T机器人平台中两个高危漏洞。该平台是专为机器人操控任务设计的基础模型。
Part01
漏洞概述与风险等级
漏洞编号为CVE-2025-33183与CVE-2025-33184,均源于Python组件的代码生成控制机制缺陷。通过身份验证的本地攻击者可利用此漏洞注入恶意代码,造成严重危害。
两项漏洞的CVSS v3.1基础评分均为7.8(高危等级),影响所有运行Isaac-GR00T N1.5版本的平台。漏洞存在于Python组件中,具备本地低权限的攻击者可通过输入验证不足问题,实施任意代码注入攻击。
Part02
潜在危害与攻击条件
若漏洞被成功利用,可能导致未授权代码执行、权限提升、敏感信息泄露及数据篡改。攻击向量为本地(AV:L),攻击复杂度低(AC:L),仅需低权限(PR:L)且无需用户交互(UI:N)。这意味着攻击者仅凭基础本地系统访问权限,即可在无需管理权或用户介入的情况下完全控制机器人系统。
Part03
受影响范围与修复方案
所有未包含代码提交记录7f53666的NVIDIA Isaac-GR00T版本均受漏洞影响。英伟达建议立即安装GitHub仓库中对应7f53666提交记录的补丁版本,任何包含该特定提交记录的分支均可彻底修复两项漏洞。
在生产环境中部署Isaac-GR00T的机构应优先安排系统补丁安装。尽管漏洞攻击范围受限于本地访问权限,但机器人系统常部署于共享环境,实际风险仍不可忽视。
参考来源:
NVIDIA’s Isaac-GROOT Robotics Platform Vulnerability Lets Attackers Inject Malicious Code
https://cyberpress.org/nvidias-isaac-groot-robotics-platform-vulnerability/
暂无评论内容