技術的な説明
LMDeploy(InternLM の大規模言語モデルの圧縮、デプロイ、提供用ツールキット)バージョン 0.12.3 以前では、複数の HuggingFace モデル読み込み呼び出しサイト全体で trust_remote_code=True がハードコードされています。これは LMDeploy によって読み込まれたあらゆる HuggingFace モデルが、ユーザープロンプトやオーバーライドオプションなしにモデル初期化中に任意の Python コードを実行できることを意味します。CVSS 7.8(高)。2026 年 6 月 10 日の NVD 公開時点でパッチは利用できませんでした。
攻撃経路
LMDeploy デプロイメントに悪意のある、または汚染された HuggingFace モデルを読み込ませることができる攻撃者(例:モデルレジストリのサプライチェーン侵害、モデル推奨メカニズム、または開発者が攻撃者制御下のモデルをダウンロードすることを経由)は、LMDeploy プロセスのコンテキストにおいて任意のコード実行を達成します — 通常、クラウド IAM ロールまたは GPU クラスタ認証情報で実行されます。
影響を受けるシステム
LMDeploy バージョン ≤ 0.12.3(GitHub の InternLM/lmdeploy);HuggingFace モデルの提供またはベンチマークに LMDeploy を使用する任意の ML 推論パイプライン、ファインチューニングワークフロー、またはモデル評価システム。
緩和策
2026 年 6 月 10 日時点でパッチはありません。暫定的な対策:(1) 出所チェックサム付きの検証済みで社内キュレーションされたモデルレジストリからのみモデルを読み込む;(2) 最小限の IAM アクセス許可とネットワーク送信制限を備えたサンドボックス環境で LMDeploy プロセスを実行する;(3) 現在の LMDeploy デプロイメントを監査して外部ソースのモデルがないか確認する;(4) InternLM GitHub アドバイザリ(GHSA-m549-qq94-fvhg)を追跡してパッチリリースを確認し、利用可能になったら直ちに更新する。