文章总结： PyTorch修复高危漏洞CVE-2026-24747，其weights_only=True安全机制失效，攻击者可利用恶意模型检查点触发内存损坏并执行任意代码。该漏洞影响2.9.1及之前版本，威胁AI供应链安全。建议开发者立即更新至2.10.0及以上版本以确保加载模型时的安全。 综合评分： 91 文章分类： AI安全,漏洞分析,漏洞预警,供应链安全

【安全圈】PyTorch “安全”模式被严重RCE漏洞攻破，可执行任意代码

安全圈

2026年1月29日 19:35 江苏

关键词

漏洞

作为现代深度学习和AI研究核心框架的PyTorch，其开发团队近日修复了一个高危漏洞（CVE-2026-24747，CVSS评分8.8）。该漏洞会破坏PyTorch最受安全关注的功能信任机制——即使启用专门设计的防护设置，攻击者仍能执行任意代码。

安全机制失效

漏洞存在于weights_only=True反序列化器中，该机制本应确保仅安全加载模型数据而不执行代码。在Python AI领域，torch.load()函数是加载已保存模型检查点的标准工具。由于Python的pickle模块存在可执行任意指令的安全风险，PyTorch专门引入weights_only=True标志，承诺仅加载数据（权重）并阻断可执行代码。

漏洞技术细节

安全研究人员发现该防护机制存在缺陷。官方公告指出：”weights_only=True反序列化器未能正确验证pickle操作码和存储元数据”。从技术角度看，该漏洞属于内存损坏问题，最终可升级为代码执行。攻击者通过构造恶意检查点文件（.pth）可触发两种特定故障：

• 堆内存损坏：对非字典类型应用SETITEM或SETITEMS操作码
• 存储不匹配：在存档中创建”声明的元素数量与实际数据之间的存储大小不匹配”

当用户加载这个被污染的文件时（误以为受限模式能确保安全），反序列化器将损坏内存，可能导致攻击者劫持受害者进程。

对AI供应链的影响

该漏洞对AI供应链影响尤为严重，研究人员和工程师经常从Hugging Face或GitHub等公共存储库下载和测试模型检查点。公告警告称：”能够诱使用户加载恶意检查点文件的攻击者，可在受害者进程上下文中实现任意代码执行。”

影响范围与修复方案

该漏洞影响PyTorch 2.9.1及之前所有版本。PyTorch团队已在2.10.0版本中发布修复补丁，强烈建议开发者和数据科学家立即更新环境，确保其”安全”加载实践真正安全可靠。

END

阅读推荐

【安全圈】谷歌警告WinRAR必须更新！漏洞正被黑客疯狂利用：已有大量用户中招

【安全圈】Office漏洞正被黑客大量利用！2016、2019、2021、365全中招

【安全圈】消息称耐克遭暗网黑客入侵，1.4 TB 数据遭泄露

【安全圈】东营网警侦破一起金融借贷领域非法获取公民个人信息案

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】PyTorch “安全”模式被严重RCE漏洞攻破，可执行任意代码》