-
09/04/2020
-
128
-
1.825 bài viết
Lỗ hổng trong SGLang: Nguy cơ bị thực thi mã từ xa chỉ từ một file model
Lỗ hổng trong nền tảng SGLang đang cho phép kẻ tấn công thực thi mã từ xa trên máy chủ chỉ thông qua một tệp mô hình được thiết kế đặc biệt, đặt ra rủi ro lớn cho các hệ thống đang vận hành mô hình AI.
Lỗ hổng được định danh là CVE-2026-5760 với điểm CVSS lên tới 9,8, thuộc nhóm nghiêm trọng. Theo cảnh báo từ CERT Coordination Center, lỗi này nằm ở endpoint /v1/rerank của SGLang.
SGLang là một framework hiệu năng cao, được sử dụng rộng rãi để triển khai các mô hình ngôn ngữ lớn (LLM) và mô hình đa phương thức. Với hàng chục nghìn lượt sử dụng trên nền tảng mã nguồn mở, bất kỳ lỗ hổng nào trong hệ thống này đều có thể gây ảnh hưởng trên diện rộng.
Lỗ hổng xuất phát từ cách hệ thống xử lý template. Cụ thể, SGLang sử dụng Jinja2 để render nội dung từ các file model, nhưng lại không áp dụng cơ chế sandbox an toàn. Thay vào đó, hệ thống sử dụng môi trường mặc định "jinja2.Environment()" cho phép thực thi mã Python nếu bị lợi dụng.
Nhà nghiên cứu Stuart Beck, người phát hiện lỗ hổng, cho biết kẻ tấn công có thể chèn payload độc hại vào tham số tokenizer.chat_template bên trong file mô hình định dạng GGUF. Khi file này được tải lên hệ thống, payload sẽ không được thực thi ngay lập tức mà “nằm chờ” cho đến khi endpoint /v1/rerank được gọi.
Quá trình tấn công diễn ra theo một chuỗi khá tinh vi. Đầu tiên, tin tặc tạo một file mô hình GGUF chứa mã độc dưới dạng template Jinja2. Sau đó, file này được phát tán qua các nền tảng chia sẻ mô hình phổ biến như Hugging Face. Khi người dùng tải về và triển khai model trên SGLang, hệ thống sẽ đọc template này.
Khi có một request gửi tới endpoint /v1/rerank, SGLang sẽ tiến hành render template bằng Jinja2. Chính tại bước này, payload độc hại được kích hoạt và thực thi mã Python tùy ý trên máy chủ, từ đó cho phép kẻ tấn công chiếm quyền điều khiển hệ thống.
Mức độ nguy hiểm và phạm vi ảnh hưởng
Với điểm CVSS 9.8, lỗ hổng này được đánh giá là cực kỳ nghiêm trọng. Đặc biệt, nó không yêu cầu quyền truy cập trực tiếp vào hệ thống, mà chỉ cần người dùng vô tình tải và sử dụng một model độc hại.
Điều này khiến phạm vi ảnh hưởng trở nên rộng hơn, nhất là trong bối cảnh cộng đồng AI ngày càng phụ thuộc vào việc chia sẻ và tái sử dụng model từ các nguồn bên ngoài. Các hệ thống triển khai AI trong doanh nghiệp, nghiên cứu hoặc dịch vụ trực tuyến đều có nguy cơ trở thành mục tiêu.
Đáng chú ý, lỗ hổng này có cùng bản chất với một số sự cố trước đó như CVE-2024-34359 và CVE-2025-61620, cho thấy đây không phải là vấn đề đơn lẻ mà là một xu hướng rủi ro mới trong hệ sinh thái AI.
Điều này khiến phạm vi ảnh hưởng trở nên rộng hơn, nhất là trong bối cảnh cộng đồng AI ngày càng phụ thuộc vào việc chia sẻ và tái sử dụng model từ các nguồn bên ngoài. Các hệ thống triển khai AI trong doanh nghiệp, nghiên cứu hoặc dịch vụ trực tuyến đều có nguy cơ trở thành mục tiêu.
Đáng chú ý, lỗ hổng này có cùng bản chất với một số sự cố trước đó như CVE-2024-34359 và CVE-2025-61620, cho thấy đây không phải là vấn đề đơn lẻ mà là một xu hướng rủi ro mới trong hệ sinh thái AI.
Rủi ro và hậu quả
Nếu bị khai thác thành công, kẻ tấn công có thể thực thi mã từ xa với quyền của dịch vụ SGLang. Điều này đồng nghĩa với việc chúng có thể cài đặt phần mềm độc hại, đánh cắp dữ liệu, hoặc sử dụng máy chủ làm bàn đạp cho các cuộc tấn công tiếp theo.
Nguy hiểm hơn, vì payload được “ẩn” trong file model, người dùng rất khó phát hiện bằng các phương pháp kiểm tra truyền thống. Đây là một dạng tấn công chuỗi cung ứng (supply chain attack) trong lĩnh vực AI.
Nguy hiểm hơn, vì payload được “ẩn” trong file model, người dùng rất khó phát hiện bằng các phương pháp kiểm tra truyền thống. Đây là một dạng tấn công chuỗi cung ứng (supply chain attack) trong lĩnh vực AI.
Biện pháp phòng tránh và khuyến nghị
Hiện tại, chưa có thông tin về bản vá chính thức cho lỗ hổng này. Tuy nhiên, CERT Coordination Center khuyến nghị các nhà phát triển cần thay đổi cách xử lý template bằng cách sử dụng môi trường an toàn như ImmutableSandboxedEnvironment thay vì môi trường mặc định của Jinja2.
Ngoài ra, người dùng và tổ chức cần đặc biệt thận trọng khi tải và sử dụng các model từ nguồn bên ngoài. Chỉ nên sử dụng các model từ nguồn đáng tin cậy, đồng thời kiểm tra kỹ nội dung trước khi triển khai trong môi trường sản xuất.
Các chuyên gia cũng khuyến nghị tăng cường kiểm soát truy cập, giám sát hành vi bất thường trên máy chủ AI và cô lập môi trường chạy model để hạn chế thiệt hại nếu bị tấn công.
Ngoài ra, người dùng và tổ chức cần đặc biệt thận trọng khi tải và sử dụng các model từ nguồn bên ngoài. Chỉ nên sử dụng các model từ nguồn đáng tin cậy, đồng thời kiểm tra kỹ nội dung trước khi triển khai trong môi trường sản xuất.
Các chuyên gia cũng khuyến nghị tăng cường kiểm soát truy cập, giám sát hành vi bất thường trên máy chủ AI và cô lập môi trường chạy model để hạn chế thiệt hại nếu bị tấn công.
Theo The Hacker News