PyTorch在Linux系统上确实存在一些安全问题,这些安全问题可能会影响到使用PyTorch的开发者和研究人员。以下是一些关于PyTorch在Linux环境下安全性的关键点:
供应链安全风险
PyTorch作为开源软件,其安全性受第三方依赖影响。2023年,PyTorch官方曾发出警告,指出在PyPI代码库上存在与PyTorch的“torchtriton”库同名的恶意依赖项。这种供应链攻击可能导致敏感数据泄露。
远程命令执行(RCE)漏洞
2025年4月,PyTorch中存在一个严重的远程命令执行(RCE)漏洞CVE-2025-32434,该漏洞位于torch.load()函数中,当使用weights_only=True参数时可能被触发。这个漏洞可能导致目标系统完全沦陷、敏感数据泄露,并可能在云计算环境中形成横向渗透。
安全更新和补丁
- 升级PyTorch版本:用户应立即将PyTorch版本升级至2.6.0或更高版本以修复CVE-2025-32434漏洞。
- 使用pip或conda更新:用户可以通过pip或conda包管理器来更新PyTorch及其相关库。
安全配置建议
- 使用虚拟环境:通过创建虚拟环境,用户可以隔离不同项目的Python环境,避免版本冲突和恶意软件的传播。
- 最小权限原则:为运行PyTorch的用户分配最小必要的权限,避免使用root账户运行应用程序。
- 定期检查和更新:用户应定期检查PyTorch和其依赖项的版本,确保使用的是最新且安全的版本。
- 监控和日志:启用系统日志记录,并定期检查日志文件以发现异常行为。
其他安全建议
- 避免使用不知名的AI工具:尽量优先使用网页的方式去与AI聊,遇到不会的编程点,或者代码需要改进的,就在网页上去与AI交互。
- 安全审计:定期进行安全审计,检查系统配置和代码中可能存在的安全问题。
总之,虽然PyTorch在Linux系统上存在一些安全问题,但通过采取适当的安全措施,如定期更新、使用虚拟环境、遵循最小权限原则等,可以显著降低这些风险。