文章总结： PyTorch修复高危漏洞CVE-2026-24747，其weights_only=True安全机制失效，攻击者可利用恶意模型文件触发内存损坏，在受害者上下文中执行任意代码。该漏洞影响2.9.1及之前版本，严重威胁AI供应链安全。建议开发者立即更新至2.10.0版本以防范此类RCE风险。 综合评分： 88 文章分类： AI安全,漏洞分析,漏洞预警,供应链安全

PyTorch安全模式被RCE漏洞攻破，恶意模型可执行任意代码

FreeBuf

2026年1月29日 18:32 上海

作为现代深度学习和AI研究核心框架的PyTorch，其开发团队近日修复了一个高危漏洞（CVE-2026-24747，CVSS评分8.8）。该漏洞会破坏PyTorch最受安全关注的功能信任机制——即使启用专门设计的防护设置，攻击者仍能执行任意代码。

Part01

安全机制失效

漏洞存在于weights_only=True反序列化器中，该机制本应确保仅安全加载模型数据而不执行代码。在Python AI领域，torch.load()函数是加载已保存模型检查点的标准工具。由于Python的pickle模块存在可执行任意指令的安全风险，PyTorch专门引入weights_only=True标志，承诺仅加载数据（权重）并阻断可执行代码。

Part02

漏洞技术细节

安全研究人员发现该防护机制存在缺陷。官方公告指出：”weights_only=True反序列化器未能正确验证pickle操作码和存储元数据”。从技术角度看，该漏洞属于内存损坏问题，最终可升级为代码执行。攻击者通过构造恶意检查点文件（.pth）可触发两种特定故障：

• 堆内存损坏：对非字典类型应用SETITEM或SETITEMS操作码
• 存储不匹配：在存档中创建”声明的元素数量与实际数据之间的存储大小不匹配”

当用户加载这个被污染的文件时（误以为受限模式能确保安全），反序列化器将损坏内存，可能导致攻击者劫持受害者进程。

Part03

对AI供应链的影响

该漏洞对AI供应链影响尤为严重，研究人员和工程师经常从Hugging Face或GitHub等公共存储库下载和测试模型检查点。公告警告称：”能够诱使用户加载恶意检查点文件的攻击者，可在受害者进程上下文中实现任意代码执行。”

Part04

影响范围与修复方案

该漏洞影响PyTorch 2.9.1及之前所有版本。PyTorch团队已在2.10.0版本中发布修复补丁，强烈建议开发者和数据科学家立即更新环境，确保其”安全”加载实践真正安全可靠。

参考来源：

Safety Broken: PyTorch “Safe” Mode Bypassed by Critical RCE Flaw

Safety Broken: PyTorch “Safe” Mode Bypassed by Critical RCE Flaw

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《PyTorch安全模式被RCE漏洞攻破，恶意模型可执行任意代码》