技术说明
vLLM 版本 0.14.1 在两个模型实现文件中硬编码了 trust_remote_code=True (vllm/model_executor/models/nemotron_vl.py 和 vllm/model_executor/models/kimi_k25.py)。这会静默覆盖任何用户提供的 --trust-remote-code=False 标志,允许模型存储库中的任意代码在模型加载期间执行,即使操作员已明确禁用此功能。
攻击途径
能够影响 vLLM 加载的模型存储库的攻击者(例如,通过中毒的 HuggingFace 模型或供应链攻击)可以在运行 Nemotron VL 或 Kimi K2.5 模型的 vLLM 实例上的模型加载期间执行任意代码,无论操作员是否明确设置了 --trust-remote-code=False 安全配置。CVSS 8.8(高);通过 huntr 赏金平台报告。
受影响系统
vLLM 版本 0.14.1 — 特别是 Nemotron VL 和 Kimi K2.5 模型实现。任何加载这些模型类型的 vLLM 部署都会受到影响,无论 trust_remote_code 标志的明确设置如何。
缓解措施
将 vLLM 更新至 0.14.1 之后的版本。审核所有 vLLM 部署配置以识别加载了哪些模型类型。在修补之前,将 Nemotron VL 和 Kimi K2.5 模型源视为需要完整供应链信任验证,无论 trust_remote_code 标志如何设置。