技术说明
SGLang是最广泛部署的开源LLM推理服务器之一(用于DeepSeek-R1、GLM-4和其他流行模型),当设置--enable-custom-logit-processor功能标志时,通过dill.loads()反序列化攻击者控制的字节。因为dill在反序列化期间执行每个对象的__reduce__方法,向/generate端点的单个HTTP POST包含精心构造的sampling_params.custom_logit_processor字段会在采样单个token之前触发GPU推理工作器内任意OS命令执行。无需认证。DeepSeek-R1在Docker、SkyPilot和AWS SageMaker上的官方部署指南推荐--host 0.0.0.0和该功能标志,使许多生产实例直接暴露于互联网。
攻击途径
攻击者向/generate(或OpenAI兼容的/v1/completions端点)发送一个HTTP POST,在sampling_params.custom_logit_processor中包含十六进制编码的dill有效载荷。有效载荷在反序列化时触发,先于任何提示处理;在默认互联网面向的部署上无需认证、无速率限制且无需先前的系统访问权限。
受影响系统
使用--enable-custom-logit-processor启动的SGLang推理服务器。特别面临风险:遵循官方文档的生产DeepSeek-R1和GLM-4部署;在所有接口上暴露的研究集群和云GPU实例,如Docker编排示例推荐。攻击者获得推理工作器进程的权限(在容器中通常是root)。
缓解措施
禁用--enable-custom-logit-processor,除非严格必需。如果必需:将/generate端点限制在认证和网络控制后,仅允许受信任的调用者访问;用允许列表、签名验证、长度限制的处理器加载机制替换dill反序列化。审计所有SGLang部署以查找端口30000上的互联网暴露。