PyTorch广泛使用的开源深度学习框架,在分布式训练场景下确实存在一些安全漏洞和潜在的安全风险。以下是关于PyTorch分布式安全问题的一些详细信息:
PyTorch分布式安全问题
- RCE漏洞(CVE-2024-5480):此漏洞允许攻击者通过构造特定的恶意请求,在目标节点上执行任意代码,影响整个训练环境。
- 反序列化漏洞(CVE-2024-48063):此漏洞存在于PyTorch 2.4.1及以下版本的分布式RPC框架中,攻击者可以通过客户端发送包含恶意方法的RemoteModule实例,触发反序列化执行任意命令。
防御措施
- 更新PyTorch版本:及时更新到最新版本的PyTorch,以修复已知的安全漏洞。
- 限制访问:通过防火墙限制RPC服务的IP范围,避免直接暴露在公网上。
- 加强验证:对RPC请求的输入参数进行验证,防止恶意代码注入。
- 日志监控:开启节点行为日志,及时检测异常活动,以便快速响应潜在的安全威胁。
通过采取上述措施,可以在很大程度上降低PyTorch分布式训练过程中的安全风险,保护用户数据和模型安全。
