輝達Megatron LM驚爆「程式碼注入」嚴重漏洞 系統恐遭駭客入侵

輝達近日證實，其用於大型語言模型（LLM）開發的Megatron LM框架存在嚴重的安全漏洞。記者孫敬／編譯

輝達（NVIDIA）近日證實，其用於大型語言模型（LLM）開發的Megatron LM框架存在嚴重的安全漏洞。這些漏洞可能允許攻擊者植入惡意程式碼，進而取得未經授權的系統存取權限。據報，輝達已於2025年6月24日緊急發布安全修補程式，修復0.12.0版本前的漏洞

延伸閱讀：再砍中國一刀！傳輝達推GeForce RTX 5090 D降規版本GeForce RTX 5090 DD

[caption id="attachment_88859" align="aligncenter" width="1200"]

Megatron LM漏洞補丁已經推出。（圖／科技島圖庫）[/caption]

低權限高危害，輝達呼籲用戶立即更新強化防禦

本次發現Megatron LM的兩項重大安全缺陷，分別被標記為 CVE-2025-23264 和 CVE-2025-23265。這兩項漏洞均源於Python框架下的程式碼弱點，在通用缺陷列表（CWE）中歸類為CWE-94（程式碼注入），漏洞的CVSS v3.1基礎評分高達7.8分，被列為高嚴重性威脅。資安研究員Yu Rong和Hao Fan發現後，便向輝達產品資安事件應變小組（PSIRT）報告。這些漏洞對於利用輝達框架，進行大規模語言模型訓練和推論的組織而言構成重大風險。

這兩項漏洞的攻擊途徑均為 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H。這代表攻擊者僅需具備本地存取權限，攻擊複雜性低，且所需權限也低，無需使用者互動即可發動攻擊。攻擊者可透過向Megatron LM系統提供特製的惡意檔案來入侵這些漏洞。一旦成功，攻擊者可能造成多種嚴重後果，包括程式碼執行、權限提升、資訊洩露以及數據篡改。

輝達強烈建議所有Megatron LM用戶立即更新至0.12.1或更高版本，相關更新已在其官方GitHub，而本次安全更新同時解決了CVE-2025-23264和CVE-2025-23265兩項缺陷。運行較舊軟體分支版本的用戶，應升級至最新的分支版本，以確保獲得全面保護。輝達強調，其風險評估是基於各種安裝環境的平均值，個別組織仍應評估其特定配置所面臨的風險。

資料來源：Cyber Security

這篇文章 輝達Megatron LM驚爆「程式碼注入」嚴重漏洞 系統恐遭駭客入侵 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。