安全简讯（2024.05.21）

文章预览

1. 6K+ AI 模型可能受到严重 RCE 漏洞的影响 5月17日，用于大语言模型 (LLM) 的流行 Python 包中的一个严重漏洞可能会影响 6,000 多个模型，并可能导致供应链攻击。开源llama-cpp-python包被发现容易受到服务器端模板注入的攻击，这可能导致远程代码执行 (RCE)。该漏洞被追踪为 CVE-2024-34359，由安全研究员和开发人员 Patrick Peng 发现，他的在线账号为 Retro0reg。llama-cpp-python 包为广泛流行的 llama.cpp 库提供 Python 绑定；llama.cpp 是一个 C++ 库，用于在个人计算机上运行 Meta 的 LLaMA 等 LLM 和 Mitral AI 的模型。llama-cpp-python 包进一步使开发人员能够将这些开源模型集成到 Python 中。CVE-2024-34359的 CVSS 关键分数为 9.7，由于 Jinja2 模板引擎的实施不当，存在 RCE 风险。Peng 在博客文章中解释说，该缺陷允许 Jinja2 解析存储在元数据中的聊天模板，而无需进行清理或沙箱处理，从 ………………………………