大模型供應(yīng)鏈安全的熵增效應(yīng)：風(fēng)險(xiǎn)挖掘與熵減策略戎譽(yù)、凡浩vivo大模型安全工程師vivo大模型安全工程師，專注于大模型安全研究，涵蓋模型框架層安全、AI產(chǎn)品vivo大模型安全工程師，主要從事大模型基礎(chǔ)設(shè)施和大模型產(chǎn)品的攻防研究，發(fā)現(xiàn)H(x)=-H(x)=-ΣP(x)log2P(x)熵增效應(yīng)：組件增加→攻擊面擴(kuò)大→風(fēng)險(xiǎn)上升系統(tǒng)組件/依賴數(shù)量系統(tǒng)組件/依賴數(shù)量參數(shù)量（億）參數(shù)量（億）015,60010,000AlibabaQwen3數(shù)據(jù)采集→數(shù)據(jù)處理→訓(xùn)練→模Gemini-Ultra,PanGu-Σ,10,850,Megatron-TuringMegatron-Turing LLaMA,6,500DeepSeek-V3.1,6,710DeepSeek-V3.1,6,710,\PaLM5,400\PaLM5,400oLlama3.1,4,050GPT-3,1,750GrokGrok1,3,140GPT-2,15Ernie3.0Titan,2,600201720182019202020212022202320242025API服務(wù)商大模型系統(tǒng)第三方插件廠商API服務(wù)商大模型系統(tǒng)第三方插件廠商find_duplicates.py在處理--load-fingerprints指定的文件時(shí)直接使用pickle.load()反序列化且未做驗(yàn)證，運(yùn)行通過惡意構(gòu)造的指紋文件觸發(fā)惡意代碼filter_ngrams.py在未對(duì)用戶提供的字典文件做驗(yàn)證的情況下直接使用pickle.load()反序列化文tools組件在讀取用戶輸入的生成token數(shù)時(shí)對(duì)input()的內(nèi)容直接使用eval()，且未對(duì)輸入作驗(yàn)證在arguments.py對(duì)用戶提供的--moe-layer-freq參數(shù)，未作校驗(yàn)直接使用eval()解析process_samples_from_single_path()在解析TSV數(shù)據(jù)集時(shí)對(duì)未信任的輸入直接使用對(duì)用戶提供的model_path使用torch.load()盲目反序列化，惡意模型文件加載時(shí)觸發(fā)RCE在process_files()中對(duì)用戶指定的--paths直接使用torch.load()反序列化未信任的.pt文件加載.mdl文件時(shí)對(duì)來自遠(yuǎn)程倉庫或用戶的文件直接使用pickle.load()反序在run.py中對(duì)用戶YAML配置使用yaml.load()，可被惡意構(gòu)造的yaml注入并觸發(fā)惡意代碼執(zhí)行l(wèi)lamafy_baichuan2.py腳本對(duì)用戶指定目錄下的.bin文件使用torch.loa擊者通過提供惡意.bin（例如放入被克隆/下載的項(xiàng)目或壓縮包）在加verlmodel_merger.py在合并FSDP檢查點(diǎn)時(shí)對(duì)外部.pt文件直接使用tjs2py支持在js中導(dǎo)入并使用python包，攻擊者可以在js2py環(huán)境中用一個(gè)python對(duì)象?/vuln/利用項(xiàng)目源代碼中的函數(shù)編寫測(cè)試?yán)庙?xiàng)目源代碼中的函數(shù)編寫測(cè)試demo__import__('os').system('mkdirHACKED!')__import__('os').system('mkdirHACKED!')漏洞實(shí)際觸發(fā)位置注釋與測(cè)試無關(guān)的代碼漏洞實(shí)際觸發(fā)位置注釋與測(cè)試無關(guān)的代碼/vuln/mkdirHACKED!指令成功執(zhí)行?數(shù)據(jù)共享和協(xié)作場景普遍?供應(yīng)鏈攻擊鏈條清晰?攻擊門檻低、危害高/vuln//vuln/依據(jù)源代碼編寫依據(jù)源代碼編寫測(cè)試demo惡意指令漏洞觸發(fā)位置/vuln//vuln/導(dǎo)致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif導(dǎo)致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif導(dǎo)致RCECVE-2025-504721.指令執(zhí)行后，自動(dòng)從模型庫下載惡意模型HaoFan2024/ms-swift-test-fanhao/vuln//models/HaoFan2024/ms-swif導(dǎo)致RCECVE-2025-504722.惡意指令在訓(xùn)練開始前執(zhí)行（加載.mdl文件時(shí)），但訓(xùn)練過程還能繼續(xù)正常進(jìn)行，不易被察覺/vuln//models/HaoFan2024/ms-swif導(dǎo)致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif軟件包原名軟件包原名模型和鏡像的拉取，也依賴具體的命名，同樣存在拼寫命名復(fù)用是指開發(fā)包、模型等依賴被作者注銷后，攻擊者復(fù)用相同的命名進(jìn)行注冊(cè)，悄無聲息正常依賴替換為被投毒過的依賴fromtransformersimportAutofromtransformersimportAuto)模型轉(zhuǎn)移給其它用戶后，通過原命名仍可訪問/model-namespace-reuse/fromtransformersimportAutoMfromtransformersimportAutoM)模型命名復(fù)用(模型命名復(fù)用(fromtransformersimportAutoMfromtransformersimportAutoM)賬戶刪除、重建生效后，仍然可以通過原名稱下載到模型。直至創(chuàng)建同名倉庫，實(shí)現(xiàn)搶注…推理框架承載大模型的運(yùn)行與服務(wù)，是連接算法與應(yīng)用的關(guān)一旦推理框架存在安全漏洞，將直接危及所有依賴其服務(wù)TensorRT-TensorRT-LLM暴露在公網(wǎng)，攻擊者可以濫用如下接口，造成模型泄露、GPU資源占用、業(yè)務(wù)中斷、數(shù)據(jù)丟失CVE-2024-8939這些應(yīng)用既面臨著傳統(tǒng)的應(yīng)用漏洞安全風(fēng)險(xiǎn)，也帶來了AI特有的安企大模型智能體應(yīng)用提供了大量發(fā)起網(wǎng)絡(luò)請(qǐng)求的功能，如果對(duì)請(qǐng)求目標(biāo)沒有做好限制，就可能存在SSRF漏洞CVE-2024-12775、CVE-2025-0184智能體的沙箱逃逸會(huì)對(duì)其它用戶和主機(jī)造成CVE-2024-10252CVE-2025-3466智能體的沙箱逃逸會(huì)對(duì)其它用戶和主機(jī)造成CVE-2024-10252CVE-202