기술 설명
LMDeploy (InternLM의 대규모 언어 모델 압축, 배포 및 서빙 툴킷) 버전 0.12.3 이하에서는 여러 HuggingFace 모델 로딩 호출 지점에서 trust_remote_code=True를 하드코딩합니다. 이는 LMDeploy에서 로드하는 모든 HuggingFace 모델이 사용자 프롬프트나 재정의 옵션 없이 모델 초기화 중에 임의의 Python 코드를 실행할 수 있음을 의미합니다. CVSS 7.8 (High). 2026년 6월 10일 NVD 공개 당시 사용 가능한 패치가 없었습니다.
공격 경로
LMDeploy 배포가 악의적이거나 손상된 HuggingFace 모델을 로드하도록 할 수 있는 공격자(예: 모델 레지스트리의 공급망 손상, 모델 추천 메커니즘, 또는 개발자가 공격자 제어 모델 다운로드)는 LMDeploy 프로세스의 컨텍스트에서 임의의 코드 실행을 달성합니다 — 일반적으로 클라우드 IAM 역할 또는 GPU 클러스터 자격 증명으로 실행됩니다.
영향받는 시스템
LMDeploy 버전 ≤ 0.12.3 (GitHub의 InternLM/lmdeploy); HuggingFace 모델을 서빙하거나 벤치마킹하기 위해 LMDeploy를 사용하는 모든 ML 추론 파이프라인, 미세 조정 워크플로우 또는 모델 평가 시스템.
완화 방안
2026년 6월 10일 기준 사용 가능한 패치 없음. 임시 통제 조치: (1) 출처 체크섬이 있는 검증된 내부 큐레이션 모델 레지스트리에서만 모델 로드; (2) 최소한의 IAM 권한 및 네트워크 송신 제한이 있는 샌드박스 환경에서 LMDeploy 프로세스 실행; (3) 외부 소스 모델에 대해 현재 LMDeploy 배포 감사; (4) 패치 릴리스 및 사용 가능해질 때 즉시 업데이트를 위해 InternLM GitHub 권고(GHSA-m549-qq94-fvhg) 추적.