技术说明
LMDeploy(InternLM 的用于压缩、部署和提供大语言模型的工具包)0.12.3 及更早版本在多个 HuggingFace 模型加载调用位置硬编码 trust_remote_code=True。这意味着 LMDeploy 加载的任何 HuggingFace 模型都可以在模型初始化期间执行任意 Python 代码,不需要任何用户提示或覆盖选项。CVSS 7.8(高)。2026 年 6 月 10 日 NVD 发布时没有可用的补丁。
攻击途径
能够导致 LMDeploy 部署加载恶意或中毒 HuggingFace 模型的攻击者(例如通过模型注册表、模型推荐机制的供应链妥协或开发者下载攻击者控制的模型)将在 LMDeploy 进程的上下文中实现任意代码执行——通常以云 IAM 角色或 GPU 集群凭证运行。
受影响系统
LMDeploy 版本 ≤ 0.12.3(GitHub 上的 InternLM/lmdeploy);任何使用 LMDeploy 提供或基准测试 HuggingFace 模型的 ML 推理管道、微调工作流或模型评估系统。
缓解措施
截至 2026 年 6 月 10 日无可用补丁。临时控制:(1) 仅从具有出处校验和的验证、内部精选模型注册表加载模型;(2) 在沙箱环境中运行 LMDeploy 进程,具有最小 IAM 权限和网络出站限制;(3) 审计当前 LMDeploy 部署中任何外部来源的模型;(4) 跟踪 InternLM GitHub 公告(GHSA-m549-qq94-fvhg)以获取补丁发布,可用时立即更新。