事件经过
在 vLLM 0.22.0 之前,vLLM 的 --revision 和 --code-revision 控制并不一致地适用于为模型加载的所有制品。提供这些标志来固定模型代码的部署仍然可以从未固定的源加载动态代码、GGUF 文件和图像处理器。CVSS 6.5 中等,发布于 2026-06-22。
影响分析
运营人员使用 --revision 固定作为安全控制来防止在生产中加载修改的模型代码。这种绕过破坏了该控制,允许 HuggingFace Hub 上的恶意模型更新绕过固定机制并在推理服务器上执行不受信任的代码 — 对安全的 vLLM 部署的供应链攻击向量。
攻击途径
恶意模型制品(动态代码、GGUF 文件、图像处理器)在未固定的路径处被加载,即使指定了 --revision,也绕过了预期的安全控制
受影响系统
vLLM < 0.22.0
缓解措施
升级到 vLLM 0.22.0。修复提交:https://github.com/vllm-project/vllm/commit/d26a28ab033697f55a1414b5b0435de7cd6045b6