何が起きたか
vLLM 0.22.0より前では、vLLMの--revisionおよび--code-revisionコントロールがモデルについて読み込まれたすべての成果物に一貫して適用されません。これらのフラグを指定してモデルコードを固定する展開は、依然として未固定のソ
なぜ重要か
Operators use --revision pinning as a security control to prevent loading of modified model code in production. This bypass defeats that control, allowing a malicious model update on HuggingFace Hub to slip past the pinning mechanism and execute untrusted code on the inference server — a supply-chain attack vector against secured vLLM deployments.
攻撃経路
Malicious model artifacts (dynamic code, GGUF files, image processors) at unpinned paths are loaded even when --revision is specified, bypassing the intended security control
影響を受けるシステム
vLLM < 0.22.0
緩和策
Upgrade to vLLM 0.22.0. Fix commit: https://github.com/vllm-project/vllm/commit/d26a28ab033697f55a1414b5b0435de7cd6045b6