技術的な説明
AIモデルの事前学習とファインチューニングに使用されるディープラーニングフレームワークである PyTorch Lightning は、バージョン 2.6.2 および 2.6.3 で認証情報収集メカニズムと一致する機能を導入しました。NVD は 2026 年 5 月 14 日に CVE-2026-44484 を公開し、CVSS 4.0 基本スコアは 9.3(Critical 重大度)です。GitHub Security Advisory GHSA-w37p-236h-pfx3 がこの問題を確認しています。
攻撃経路
具体的な攻撃ベクトルは NVD エントリで完全には詳細化されていませんが、「認証情報収集メカニズムと一致する機能」の説明は、影響を受けるバージョンがモデル学習またはフレームワーク初期化中に認証情報を収集または流出させる可能性があることを示唆しています。PyTorch Lightning を本番環境でのモデル学習または研究に使用している組織は、学習環境にアクセス可能な認証情報が流出した可能性があると想定すべきです。
影響を受けるシステム
PyTorch Lightning バージョン 2.6.2 および 2.6.3。これらのバージョンを使用している AI モデル学習パイプライン、MLOps プラットフォーム、または研究環境を実行している組織は、認証情報の露出について監査する必要があります。サービスアカウント、API キー、またはシークレットストアへのアクセス権を持つクラウドベースの学習環境は特に危険です。
緩和策
PyTorch Lightning を修正済みバージョンにすぐにアップグレードしてください(2026 年 5 月 14 日現在、NVD エントリではバージョン詳細がまだ指定されていません。GitHub advisory GHSA-w37p-236h-pfx3 で修復ガイダンスを確認してください)。PyTorch Lightning 2.6.2 または 2.6.3 が実行された環境でアクセス可能だったすべての認証情報をローテーションしてください。これには、クラウド IAM 認証情報、API キー、およびシークレットストアトークンが含まれます。認証情報流出の証拠がないか、学習ジョブログと環境設定を監査してください。