技术说明
PyTorch Lightning 是一个用于预训练和微调AI模型的深度学习框架,在版本 2.6.2 和 2.6.3 中引入了与凭据收集机制一致的功能。NVD 于 2026 年 5 月 14 日发布了 CVE-2026-44484,CVSS 4.0 基础评分为 9.3(严重级别)。GitHub Security Advisory GHSA-w37p-236h-pfx3 确认了该问题。
攻击途径
NVD 条目中未完全详述具体的攻击向量,但"与凭据收集机制一致的功能"的描述表明,受影响的版本可能在模型训练或框架初始化期间收集或泄露凭据。使用 PyTorch Lightning 进行生产模型训练或研究的组织应假设训练环境中可访问的凭据可能已被暴露。
受影响系统
PyTorch Lightning 版本 2.6.2 和 2.6.3。运行使用这些版本的AI模型训练管道、MLOps 平台或研究环境的组织应审计凭据暴露情况。可访问服务账户、API 密钥或密钥存储的基于云的训练环境面临特别风险。
缓解措施
立即将 PyTorch Lightning 升级到修补版本(截至 2026 年 5 月 14 日,NVD 条目中尚未指定版本详情;请查看 GitHub advisory GHSA-w37p-236h-pfx3 获取修复指导)。轮换所有在执行 PyTorch Lightning 2.6.2 或 2.6.3 的环境中可访问的凭据,包括云 IAM 凭据、API 密钥和密钥存储令牌。审计训练作业日志和环境配置以寻找凭据泄露的证据。