技術的な説明
PyTorch Lightning は、AI モデルのプリトレーニングとファインチューニングに使用される深層学習フレームワークであり、バージョン 2.6.2 および 2.6.3 で認証情報収集メカニズムと一致する機能を導入しました。NVD は CVE-2026-44484 を 2026 年 5 月 14 日に公開し、CVSS 4.0 の基本スコアは 9.3(Critical 重大度)です。GitHub Security Advisory GHSA-w37p-236h-pfx3 がこの問題を確認しています。
攻撃経路
特定の攻撃ベクトルは NVD エントリに完全には詳細に記載されていませんが、「認証情報収集メカニズムと一致する機能」の説明は、影響を受けるバージョンがモデルトレーニングまたはフレームワーク初期化中に認証情報を収集または流出させる可能性があることを示唆しています。PyTorch Lightning を本番モデルトレーニングまたは研究に使用している組織は、トレーニング環境にアクセス可能な認証情報が流出した可能性があることを前提として対応してください。
影響を受けるシステム
PyTorch Lightning バージョン 2.6.2 および 2.6.3。AI モデルトレーニングパイプライン、MLOps プラットフォーム、またはこれらのバージョンを使用する研究環境を実行している組織は、認証情報の流出について監査してください。サービスアカウント、API キー、またはシークレットストアへのアクセス権を持つクラウドベースのトレーニング環境は特に危険にさらされています。
緩和策
PyTorch Lightning をすぐにパッチが適用されたバージョンにアップグレードしてください(2026 年 5 月 14 日現在、NVD エントリではバージョンの詳細がまだ指定されていません。修復ガイダンスについては GitHub advisory GHSA-w37p-236h-pfx3 を確認してください)。PyTorch Lightning 2.6.2 または 2.6.3 が実行された環境でアクセス可能であったすべての認証情報を回転させます。これにはクラウド IAM 認証情報、API キー、およびシークレットストアトークンが含まれます。認証情報流出の証拠がないかトレーニングジョブログと環境構成を監査してください。