【严重AI漏洞预警】vLLM PyNcclPipe pickle反序列化漏洞（CVE-2025-47277）

cexlife 飓风网络安全 2025-05-22 13:52

漏洞描述:

vLLM是一个用于大型语言模型（LLM）的推理和服务引擎,当vllm使用PyNcclPipeKV缓存传输集成与V0引擎的环境时,由于PyNcclPipe存在一个pickle反序列化漏洞,当PyNcclPipe组件对外暴露时,未经授权的远程攻击者可以连接到该组件,并发送恶意序列化数据执行任意代码,可能导致服务器失陷。

修复建议:

1、升级至最新版本

2、若使用 vllm时没有开启PyNcclPipe 服务,那么实际风险较低.