기술 설명
AI 모델의 사전 학습 및 미세 조정에 사용되는 �ープ러닝 프레임워크인 PyTorch Lightning은 버전 2.6.2 및 2.6.3에서 자격증명 수집 메커니즘과 일치하는 기능을 도입했습니다. NVD는 2026년 5월 14일에 CVSS 4.0 기본 점수 9.3(심각)으로 CVE-2026-44484를 공개했습니다. GitHub 보안 공시 GHSA-w37p-236h-pfx3에서 이 문제를 확인합니다.
공격 경로
구체적인 공격 벡터는 NVD 항목에 완전히 자세히 설명되어 있지 않지만, '자격증명 수집 메커니즘과 일치하는 기능'의 설명은 영향을 받는 버전이 모델 학습 또는 프레임워크 초기화 중에 자격증명을 수집하거나 유출할 수 있음을 시사합니다. PyTorch Lightning을 프로덕션 모델 학습 또는 연구에 사용하는 조직은 학습 환경에 접근 가능한 자격증명이 노출되었을 수 있다고 가정해야 합니다.
영향받는 시스템
PyTorch Lightning 버전 2.6.2 및 2.6.3. AI 모델 학습 파이프라인, MLOps 플랫폼 또는 이러한 버전을 사용하는 연구 환경을 실행하는 조직은 자격증명 노출을 감사해야 합니다. 서비스 계정, API 키 또는 보안 저장소에 접근할 수 있는 클라우드 기반 학습 환경이 특히 위험합니다.
완화 방안
PyTorch Lightning을 패치된 버전으로 즉시 업그레이드합니다(2026년 5월 14일 현재 NVD 항목에서 버전 세부 정보가 아직 지정되지 않음; 수정 지침은 GitHub 공시 GHSA-w37p-236h-pfx3을 확인합니다). PyTorch Lightning 2.6.2 또는 2.6.3이 실행되었던 환경에서 접근 가능했던 모든 자격증명을 회전합니다(클라우드 IAM 자격증명, API 키 및 보안 저장소 토큰 포함). 자격증명 유출의 증거가 있는지 학습 작업 로그 및 환경 구성을 감사합니다.