技術的な説明
DeepSeek-R1、GLM-4、その他の人気モデルに使用される最も広く展開されているオープンソースLLM推論サーバの1つであるSGLangは、--enable-custom-logit-processorフィーチャフラグが設定されている場合、攻撃者が制御するバイト列をdill.loads()経由でデシリアライズします。dillはデシリアライゼーション中にすべてのオブジェクトの__reduce__メソッドを実行するため、細工されたsampling_params.custom_logit_processorフィールドを含む単一のHTTP POSTを/generateエンドポイントに送信すると、単一のトークンがサンプリングされる前にGPU推論ワーカー内で任意のOSコマンド実行が引き起こされます。認証は不要です。Docker、SkyPilot、AWS SageMakerにおけるDeepSeek-R1の公式デプロイメントガイドは--host 0.0.0.0とこのフィーチャフラグを推奨しており、多くの本番インスタンスが直接インターネットに露出しています。
攻撃経路
攻撃者は/generate(またはOpenAI互換の/v1/completionsエンドポイント)へ1つのHTTP POSTを送信し、sampling_params.custom_logit_processorに16進エンコードされたdillペイロードを含めます。ペイロードはプロンプト処理前のデシリアライゼーション時に動作します。認証、レート制限、およびデフォルトのインターネット公開デプロイメント上のシステムへの事前アクセスは不要です。
影響を受けるシステム
--enable-custom-logit-processorで開始されたSGLang推論サーバ。特に危険:公式ドキュメントに従う本番DeepSeek-R1およびGLM-4デプロイメント。Dockerコンポーズの例で推奨されているすべてのインターフェース上に露出する研究クラスタおよびクラウドGPUインスタンス。攻撃者は推論ワーカープロセスの権限を獲得します(コンテナ内ではしばしばroot)。
緩和策
--enable-custom-logit-processorは厳密に必要でない限り無効にしてください。必要な場合:信頼できるカラーのみがアクセスできるように、認証およびネットワーク制御の背後にある/generateエンドポイントを制限してください。dillデシリアライゼーションを、ホワイトリスト済み、署名検証済み、長さ制限されたプロセッサ読み込みメカニズムに置き換えてください。ポート30000上のインターネット露出に関するすべてのSGLangデプロイメントを監査してください。