LMDeploy SSRF 漏洞 CVE-2026-33626 在披露后 13 小时被利用

执行摘要

根据The Hacker News的报告，开源工具包LMDeploy（用于压缩、部署和提供大型语言模型（LLMs））中存在一个高严重性的服务器端请求伪造（SSRF）漏洞，在公开披露后不到13小时就被积极利用。这个漏洞被追踪为CVE-2026-33626（CVSS得分：7.5），它允许未经身份验证的攻击者构造请求，诱使LMDeploy服务器进行内部网络调用，可能暴露敏感数据或内部服务。漏洞被利用的速度——在披露后半天内——突显了对LLM基础设施组件的积极攻击以及防御者必须反应的压缩窗口。

技术分析

CVE-2026-33626位于LMDeploy的请求处理逻辑中，特别是在服务器如何处理用户提供的URL或资源路径方面。这个漏洞被归类为服务器端请求伪造（SSRF），它使攻击者能够发送经过构造的请求，LMDeploy服务器将执行这些请求针对内部网络资源。根据披露，这个漏洞不需要身份验证，降低了被利用的门槛。

LMDeploy在AI/ML管道中被广泛用于优化和提供LLMs，如LLaMA、Qwen等基于变换器的模型。它通常部署在研究环境、云托管的推理端点和企业AI基础设施中。SSRF向量可能允许攻击者探测内部云元数据端点（例如，AWS 169.254.169.254）、访问内部数据库或转向同一网络段上的其他服务。

根据The Hacker News，在漏洞公开披露后的13小时内观察到野外利用。这种快速武器化与攻击者扫描和利用新披露的AI/ML工具漏洞的更广泛趋势一致，如最近涉及Cohere AI Terrarium和其他LLM服务平台的事件所见。截至本文撰写时，攻击者使用的特定利用有效载荷或基础设施尚未公开详细说明。

缓解措施与建议

运行LMDeploy实例的防御者应优先执行以下操作：

1. 立即应用补丁。 LMDeploy维护者已发布修复CVE-2026-33626的补丁。验证您的部署版本与修补后的版本，并立即更新。
2. 限制出站网络访问。 配置防火墙规则或网络策略，阻止LMDeploy服务器与内部元数据端点和任意外部主机建立出站连接。这限制了SSRF利用的影响范围。
3. 分割LLM基础设施。 将LMDeploy和其他LLM服务组件放置在具有严格出口控制的隔离网络段中。避免在同一子网上共置敏感的内部服务（数据库、密钥存储）。
4. 监控异常出站请求。 在LMDeploy服务器上启用日志记录，并监控对不寻常IP地址的请求，特别是云元数据IP（例如，169.254.169.254）或内部RFC 1918范围。
5. 验证输入清理。 审查任何传递用户提供的URL或文件路径到LMDeploy的自定义集成或配置。确保在应用层强制执行输入验证。

鉴于观察到的利用时间线，即使等待24小时来打补丁也可能为时已晚。组织应将此视为一个活跃的威胁，并提高补救优先级。