影响产品
vLLM 最初由加州大学伯克利分校的 Sky Computing Lab 开发,是一个专注于优化大语言模型(LLM)推理和服务的高性能开源库。其核心目标是显著提升LLM服务在大规模计算环境下的效率和吞吐能力。现已发展成为一个社区驱动的项目。vLLM融合了学术界与工业界的智慧,在Github上收获了68.2K Star的关注度。目前,包括腾讯在内的众多企业广泛使用vLLM进行AI模型推理,其安全性直接关系到AI服务的稳定性和数据安全。
其核心特性包括PagedAttention高效内存管理、并行化调度优化以及对多GPU、分布式环境的良好支持。vLLM兼容Hugging Face接口,便于模型快速加载与集成,广泛用于推理服务、AI应用后端与生产级模型部署场景。
漏洞描述
近日,官方披露vLLM在模型初始化阶段存在远程代码执行漏洞(CVE-2026-22807)。该漏洞源于vLLM在解析模型配置(config.json)时,无条件加载Hugging Face模型中的auto_map动态模块,在调用try_get_class_from_dynamic_module()函数解析模块路径时,未对全局trust_remote_code配置参数进行校验。如果攻击者能够控制模型仓库路径(本地目录或远程仓库),即便用户在初始化LLM实例时显式设置了trust_remote_code=False(即禁止执行远程代码),仍然可在模型加载过程中注入并执行恶意的Python代码。该行为发生在服务启动阶段,请求处理之前,无需任何接口访问权限,风险较高。
漏洞复现
POC链接
https://github.com/rockmelodies/vllm_auto_map_rce
免责声明:
禁止将此漏洞信息用于任何非法活动
禁止未经授权对系统进行渗透测试
使用者需确保遵守当地法律法规
作者不对任何滥用行为承担责任
