A Nvidia lançou uma atualização de software crucial para corrigir uma série de vulnerabilidades em seu Triton Inference Server, uma plataforma amplamente utilizada para implantação e execução de modelos de inteligência artificial. Essas vulnerabilidades são consideradas críticas porque podem ser exploradas por invasores para assumir o controle total de um servidor de IA, roubar dados e manipular as saídas de modelos de IA.
A cadeia de ataque, conforme descrita por Nir Ohfeld, chefe de pesquisa de vulnerabilidades da Wiz, é um processo de várias etapas. Começa com um bug aparentemente pequeno que faz com que o servidor Triton vaze uma pequena parte secreta de dados internos. Um invasor pode então aproveitar essas informações vazadas para enganar o servidor e fazê-lo obter o controle sobre um componente privado do sistema. Essa posição inicial é tudo o que é necessário para escalar privilégios e obter uma tomada de controle total do servidor. As vulnerabilidades receberam os identificadores CVE-2025-23319, CVE-2025-23320 e CVE-2025-23334.
As falhas estão principalmente enraizadas no backend Python do servidor Triton. A cadeia de ataque se desenrola da seguinte forma:
- Divulgação de informações: um invasor envia uma solicitação grande e especialmente criada ao servidor, que dispara um erro. Essa mensagem de erro, em vez de ser inofensiva, inclui indevidamente o nome exclusivo da região de memória compartilhada da Comunicação Interprocessos (IPC) interna do backend. Este é o primeiro passo crítico, pois esse nome deve permanecer privado.
- Exploração: com o nome vazado da região de memória compartilhada, o invasor pode usar uma API legítima do Triton para ler e gravar nessa memória. Isso fornece uma capacidade poderosa de manipular dados internos e estruturas de controle, eventualmente levando a um comprometimento completo do servidor.
- Escalonamento de privilégios e tomada de controle de servidor: ao alterar a memória compartilhada, um invasor pode causar comportamento inesperado no servidor, permitindo-lhe obter controle total e executar código arbitrário remotamente. Isso pode ser usado para roubar modelos proprietários de IA, exfiltrar dados confidenciais ou envenenar as saídas do modelo.
O escopo completo de organizações que utilizam o Triton não é público, mas um comunicado de imprensa de 2021 da Nvidia afirmou que mais de 25.000 empresas utilizam sua pilha de IA. Clientes de alto perfil que são conhecidos por utilizar o Triton incluem Microsoft, Amazon, Oracle, Siemens e American Express, indicando o potencial de um impacto abrangente.
Dada a popularidade e a função crítica do Triton, uma exploração bem-sucedida pode ter consequências graves para as empresas que dependem desses modelos de IA para suas operações.
A resposta da Nvidia foi lançar um boletim de segurança e uma versão corrigida do software. O conselho de Ohfeld é:
“O passo mais importante é atualizar para a versão corrigida do Servidor de Inferência Nvidia Triton (versão 25.07 ou mais recente). Esta atualização aborda diretamente toda a cadeia de vulnerabilidades, tornando o servidor imune a este ataque específico. Embora não haja evidências atuais de que essas vulnerabilidades estejam sendo exploradas in loco, o potencial de dano é alto, tornando essencial uma ação imediata para todos os usuários.”
Este incidente destaca uma tendência mais ampla no mundo da tecnologia, em que tecnologias emergentes estão se tornando os principais alvos de ataques cibernéticos. O primeiro semestre de 2025 viu um aumento drástico em explorações relacionadas a criptomoedas, com bilhões de dólares em ativos digitais roubados, principalmente devido a falhas de acesso e bugs em contratos inteligentes.
Especialistas alertam que, à medida que a IA e a computação quântica continuam a avançar, elas introduzirão novas e complexas ameaças cibernéticas, tornando medidas de segurança robustas mais críticas do que nunca. As vulnerabilidades no servidor Triton da Nvidia servem como um lembrete claro de que mesmo a infraestrutura que alimenta a tecnologia de ponta não está imune a falhas de segurança.
