开源AI部署工具安全风险凸显:从LMDeploy SSRF到Vercel第三方供应链事件

今日安全事件概览

4月24日，AI安全社区集中讨论开源AI推理与部署工具的多个安全事件。核心包括vLLM发布0.19.1版本修复依赖漏洞、LMDeploy的SSRF漏洞（CVE-2026-33626）在披露后极短时间内被实际利用，以及Vercel因第三方AI工具导致的四月安全事件仍有更新通报。这些事件共同指向AI基础设施供应链的安全脆弱性，尤其在生产环境快速扩张的当下。

LMDeploy SSRF漏洞：披露即被利用的惊人速度

LMDeploy是由上海人工智能实验室开发的开源LLM部署工具，支持视觉-语言模型和文本大模型的压缩、部署与服务。其vision-language模块中的load_image()函数存在SSRF漏洞（CVE-2026-33626，CVSS 7.5），允许攻击者通过未验证的URL请求访问内部网络、云元数据服务（如AWS IMDS）以及Redis、MySQL等敏感资源。

GitHub安全公告于4月21日发布后，Sysdig威胁研究团队在12小时31分钟内就观察到针对其蜜罐的首次利用尝试。攻击者无需公开PoC，仅凭公告描述，在短短8分钟会话中完成内网端口扫描和OOB DNS外泄。这反映出攻击者对AI推理端点的熟悉程度，以及开源项目漏洞从披露到武器化的加速趋势。受影响版本为0.12.3之前，官方已发布补丁。

vLLM 0.19.1的安全补丁更新

vLLM作为高吞吐LLM推理库，其0.19.1补丁版本近期发布，重点之一是修复protobuf依赖中的CVE-2026-0994。该漏洞为DoS类型，源于JSON解析中对嵌套google.protobuf.Any消息的递归深度限制绕过，可能导致Python递归栈耗尽。

此次更新属于常规安全维护，结合Transformers版本升级和其他bug修复，旨在提升部署稳定性。vLLM广泛用于生产级推理服务，此类依赖补丁提醒开发者及时跟进底层库安全，以避免潜在的服务中断风险。

Vercel四月安全事件最新进展

Vercel于四月确认一起安全事件：一名员工使用的第三方AI工具Context.ai遭OAuth妥协，导致攻击者接管其Google Workspace账户，进而访问Vercel账户并枚举、解密部分非敏感环境变量。攻击者展现出对Vercel产品API的深入了解，被评估为高成熟度。

事件影响范围有限，仅少数客户的环境变量受影响，Vercel已通知相关方并建议立即轮换凭证。调查确认Vercel发布的npm包未遭篡改，供应链安全。4月下旬的持续更新中，Vercel推送了环境变量管理增强、团队安全概览和活动日志改进等产品特性，并强调启用MFA、使用敏感环境变量等最佳实践。删除项目或账户不足以消除风险，必须先轮换凭证。

为什么AI推理栈安全值得持续关注

这些事件并非孤立：LMDeploy漏洞的快速利用凸显开源AI工具在暴露后面临的现实威胁，攻击者已将AI推理节点视为内网跳板；Vercel事件则突出第三方工具和OAuth供应链的攻击面；vLLM补丁则代表日常维护的必要性。

在AI应用大规模落地的背景下，推理栈正成为新攻击面。生产环境若未及时打补丁或强化隔离，可能面临服务中断、数据泄露或横向移动风险。社区讨论中，业内人士强调验证生产影响、加强输入验证与网络分段的重要性，同时呼吁关注类似供应链案例的连锁反应。目前这些仍是局部事件，但暴露出的速度与复杂性，值得AI开发者与平台运维者保持警惕。

整体而言，此轮安全提醒并非恐慌信号，而是行业成熟过程中的常规警钟。及时应用补丁、遵循安全最佳实践，仍是降低风险的最直接方式。

链接

• vercel.com
• github.com
• sysdig.com
• github.com