技術的な説明
LMDeploy(InternLM の大規模言語モデルの圧縮、デプロイ、および提供用ツールキット)バージョン 0.12.3 以前は、複数の HuggingFace モデル読み込み呼び出しサイト全体で trust_remote_code=True をハードコードしています。これは LMDeploy で読み込まれたあらゆる HuggingFace モデルが、ユーザープロンプトまたはオーバーライドオプションなしでモデル初期化中に任意の Python コードを実行できることを意味します。CVSS 7.8(高)。2026 年 6 月 10 日の NVD 公開時点ではパッチが利用できませんでした。
攻撃経路
LMDeploy デプロイメントに悪意のあるまたは改ざんされた HuggingFace モデルの読み込みを引き起こすことができる攻撃者(たとえば、モデルレジストリのサプライチェーン侵害、モデル推奨メカニズム、または開発者が攻撃者制御下のモデルをダウンロードすることを介して)は、LMDeploy プロセスのコンテキストで任意コード実行を達成します—通常はクラウド IAM ロールまたは GPU クラスタ認証情報で実行されています。
影響を受けるシステム
LMDeploy バージョン ≤ 0.12.3(GitHub の InternLM/lmdeploy);HuggingFace モデルの提供またはベンチマーク化に LMDeploy を使用する任意の ML 推論パイプライン、ファインチューニングワークフロー、またはモデル評価システム。
緩和策
2026 年 6 月 10 日時点ではパッチは利用できません。暫定的対策:(1)プロヴェナンスチェックサムを使用した検証済みの内部キュレーションモデルレジストリからのみモデルを読み込む;(2)LMDeploy プロセスをサンドボックス環境で実行し、IAM 権限は最小限で、ネットワークエグレス制限がある;(3)外部ソースのモデルについて現在の LMDeploy デプロイメントを監査する;(4)パッチリリースの InternLM GitHub advisory(GHSA-m549-qq94-fvhg)を追跡し、利用可能になったら直ちに更新する。