Penjelasan teknis
LMDeploy (toolkit InternLM untuk kompresi, deployment, dan serving model bahasa besar) versi 0.12.3 dan lebih awal melakukan hardcode trust_remote_code=True di berbagai situs pemanggilan pemuatan model HuggingFace. Ini berarti model HuggingFace apa pun yang dimuat oleh LMDeploy dapat mengeksekusi kode Python arbitrer selama inisialisasi model tanpa prompt pengguna atau opsi override apa pun. CVSS 7.8 (Tinggi). Tidak ada patch yang tersedia pada saat publikasi NVD pada 10 Juni 2026.
Vektor serangan
Penyerang yang dapat menyebabkan deployment LMDeploy memuat model HuggingFace berbahaya atau keracunan (misalnya melalui kompromi rantai pasokan registri model, mekanisme rekomendasi model, atau developer mengunduh model yang dikontrol penyerang) akan mencapai eksekusi kode arbitrer dalam konteks proses LMDeploy — biasanya berjalan dengan peran IAM cloud atau kredensial GPU cluster.
Sistem yang terdampak
Versi LMDeploy ≤ 0.12.3 (InternLM/lmdeploy di GitHub); pipeline inferensi ML apa pun, alur kerja fine-tuning, atau sistem evaluasi model menggunakan LMDeploy untuk melayani atau benchmark model HuggingFace.
Mitigasi
Tidak ada patch yang tersedia per 10 Juni 2026. Kontrol interim: (1) Hanya muat model dari registri model internal yang terverifikasi dan dikurasi dengan checksum provenance; (2) Jalankan proses LMDeploy dalam lingkungan bersandbox dengan izin IAM minimal dan pembatasan egress jaringan; (3) Audit deployment LMDeploy saat ini untuk model bersumber eksternal apa pun; (4) Lacak advisory GitHub InternLM (GHSA-m549-qq94-fvhg) untuk rilis patch dan perbarui segera ketika tersedia.