【AI高危漏洞】AI工具包LMDeploy曝高危漏洞,披露后仅13小时即遭黑客利用

近日，一个影响热门开源AI工具包LMDeploy的高危安全漏洞在公开披露后不到13小时，便被攻击者在互联网上主动利用。该事件再次凸显了人工智能基础设施所面临的严峻安全挑战，以及攻击者利用漏洞的惊人速度。

漏洞详情：服务器端请求伪造（SSRF）

该漏洞编号为CVE-2026-33626，CVSS风险评分为7.5（高危级别），属于服务器端请求伪造（SSRF）漏洞。它存在于LMDeploy的“视觉语言”功能模块中。

根据项目维护者发布的公告，问题根源在于 lmdeploy/vl/utils.py文件中的 load_image()函数。该函数在从任意URL加载图像时，未能验证目标地址是否为内部或私有IP。这使得攻击者可以诱使服务器向本不应从外部访问的内部服务发起请求，从而构成SSRF攻击。

闪电般的利用速度与攻击手法

云安全公司Sysdig在其分析报告中指出，他们在该漏洞的修复补丁发布到GitHub后仅12小时31分钟，就监测到了首次利用尝试。攻击源自IP地址 103.116.72[.]119。

攻击者并非简单验证漏洞是否存在，而是进行了一场持续8分钟、目标明确的渗透测试：

• 探测内部服务：利用漏洞作为跳板，尝试访问服务器后端的AWS实例元数据服务（IMDS）以窃取云凭证，并扫描Redis、MySQL等内部数据库。

• 确认漏洞有效性：通过发起带外（OOB）DNS回调请求，确认其能够与任意外部主机通信。

• 内部网络侦查：对服务器的环回接口（127.0.0.1）进行端口扫描，以发现更多潜在的攻击面。

为规避检测，攻击者在一次会话中交替使用了InternLM-XComposer2和OpenGVLab/InternVL2-8B等不同的视觉语言模型来发起请求。

广泛影响与严峻模式

此漏洞影响了LMDeploy 0.12.0及更早的所有支持视觉语言的版本。成功利用可导致攻击者窃取云平台凭证、访问内部网络服务、进行内网端口扫描，并为横向移动创造条件。

Sysdig强调，CVE-2026-33626符合一个过去半年在AI基础设施领域反复出现的危险模式：推理服务器、模型网关等工具中的关键漏洞，无论其用户基数大小，都在公开后数小时内被迅速“武器化”。生成式人工智能（GenAI）的普及似乎正在加速这一“漏洞披露到利用”的时间窗口崩溃。

其他相关威胁动态

报告同期还披露了另外两起活跃的网络攻击活动：

• WordPress插件漏洞利用：攻击者正在利用Ninja Forms – File Upload（CVE-2026-0740）和Breeze Cache（CVE-2026-3844）这两个WordPress插件中的高危漏洞（CVSS评分均为9.8），通过上传恶意文件完全控制网站。

• 工控系统（ICS）扫描：在2025年9月至11月期间，一场针对暴露在互联网上的、支持Modbus协议的可编程逻辑控制器（PLC）的全球扫描活动被捕获。该活动覆盖70个国家，涉及超过1.4万个IP地址，部分溯源至位于中国的来源，其行为模式暗示了设备指纹识别和潜在干扰意图。

安全建议

对于使用LMDeploy的组织和个人，应立即采取以下措施：

• 紧急升级：将LMDeploy升级至已修复该漏洞的最新版本。

• 网络隔离：严格将AI模型推理服务器部署在内部网络，避免将其管理接口直接暴露在互联网。

• 加强监控：对服务器出向流量（特别是向内部元数据服务或异常外部地址的请求）实施严格监控和告警。

此次事件为整个AI行业敲响了警钟：在快速迭代和部署AI能力的同时，必须将安全性提升到最高优先级，建立快速响应漏洞的机制，以应对无孔不入且效率极高的现代网络威胁。

安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。