Penjelasan teknis
LMDeploy (toolkit InternLM untuk kompresi, deployment, dan serving large language models) versi 0.12.3 dan sebelumnya melakukan hardcode trust_remote_code=True di berbagai situs pemanggilan model-loading HuggingFace. Ini berarti setiap model HuggingFace yang dimuat oleh LMDeploy dapat menjalankan arbitrary Python code selama inisialisasi model tanpa prompt pengguna atau opsi override apa pun. CVSS 7.8 (High). Tidak ada patch yang tersedia pada saat publikasi NVD pada 10 Juni 2026.
Vektor serangan
Penyerang yang dapat menyebabkan deployment LMDeploy memuat model HuggingFace yang berbahaya atau tercemar (misalnya melalui supply-chain compromise dari registry model, mekanisme rekomendasi model, atau developer mengunduh model yang dikontrol penyerang) akan mencapai arbitrary code execution dalam konteks proses LMDeploy — biasanya berjalan dengan cloud IAM roles atau kredensial GPU cluster.
Sistem yang terdampak
LMDeploy versi ≤ 0.12.3 (InternLM/lmdeploy di GitHub); pipeline ML inference apa pun, fine-tuning workflow, atau model-evaluation system yang menggunakan LMDeploy untuk melayani atau benchmark model HuggingFace.
Mitigasi
Tidak ada patch tersedia per 10 Juni 2026. Kontrol interim: (1) Hanya muat model dari registry model yang terverifikasi dan dikurasi internal dengan checksum provenance; (2) Jalankan proses LMDeploy di lingkungan sandbox dengan permission IAM minimal dan pembatasan network egress; (3) Audit deployment LMDeploy saat ini untuk setiap model bersumber eksternal; (4) Lacak advisory GitHub InternLM (GHSA-m549-qq94-fvhg) untuk rilis patch dan perbarui segera saat tersedia.