文章总结： 英伟达紧急修复IsaacLaunchable中三个严重漏洞（CVE-2025-33222/23/24），CVSS评分9.8。其中硬编码凭据及权限管理缺陷可致攻击者完全接管AI系统。用户需立即升级至1.1版本以防范远程代码执行及数据篡改风险。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,AI安全

硬编码后门：英伟达紧急修复多个高危漏洞，可用于完全控制AI系统

Ddos

代码卫士

2025年12月25日 18:15 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

英伟达紧急发布Isaac Launchable软件安全更新，修复了三个可导致攻击者完全控制受影响系统的严重漏洞。这三个漏洞的编号是CVE-2025-33222、CVE-2025-33223和CVE-2025-33224，CVSS评分9.8分，会对机器人和AI开发环境造成严重损害。

这些漏洞影响新发布的1.1版之前的所有软件版本，用户面临远程代码执行、数据篡改等风险。

最严重的漏洞CVE-2025-33222涉及一个经典但破坏性极大的安全疏忽：硬编码凭据。该漏洞可使攻击者通过使用直接写入软件代码的凭据，完全绕过身份验证。英伟达发布公告提到， “成功利用该漏洞可能导致代码执行、权限提升、拒绝服务和数据篡改等后果”。本质上，攻击者可运行恶意命令，并在不触发警报的情况下篡改关键数据。

其余两个漏洞CVE-2025-33223和CVE-2025-33224源于权限管理不当，可导致攻击者以高于其应有权限的级别触发执行。公告提醒称，“攻击者可能导致以不必要权限的执行”。与硬编码凭据漏洞类似，这两个漏洞可能导致系统被完全攻陷，潜在影响广泛，包括“代码执行、权限提升、拒绝服务、信息泄露和数据篡改”。

修复建议

鉴于这三个漏洞的严重性和广泛的潜在影响范围，英伟达敦促所有用户立即修复。这些漏洞影响所有平台上的Isaac Launchable。英伟达建议称：“为保护您的系统，请下载并安装最新版本的Isaac Launchable。”运行1.1之前版本的用户均处于风险之中，应立即升级至1.1版本进行修复。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

因代码复用，Meta、英伟达和微软推理框架受多个严重AI漏洞影响

英伟达容器工具集中存在严重漏洞，攻击者可获得完全的主机权限

英伟达发布 GPU 驱动更新，修复25个漏洞

继英伟达、三星后，育碧也遭攻击，员工密码重置

黑客泄露DLSS源代码，逼英伟达开源GPU驱动

原文链接

The Hard-Coded Backdoor: Critical 9.8 Severity NVIDIA Flaws Grant Total Control of AI Systems

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《硬编码后门：英伟达紧急修复多个高危漏洞，可用于完全控制AI系统》