기술 설명
AI 모델을 사전 학습 및 미세 조정하는 데 사용되는 심층 학습 프레임워크인 PyTorch Lightning은 버전 2.6.2 및 2.6.3에서 자격증명 수집 메커니즘과 일치하는 기능을 도입했습니다. NVD는 2026년 5월 14일에 CVE-2026-44484를 CVSS 4.0 기본 점수 9.3(중대 심각도)으로 공시했습니다. GitHub 보안 권고 GHSA-w37p-236h-pfx3가 이 문제를 확인합니다.
공격 경로
구체적인 공격 벡터는 NVD 항목에 완전히 상세히 설명되어 있지 않지만, '자격증명 수집 메커니즘과 일치하는 기능'의 설명은 영향을 받는 버전이 모델 학습 또는 프레임워크 초기화 중에 자격증명을 수집하거나 유출할 수 있음을 시사합니다. 프로덕션 모델 학습 또는 연구에 PyTorch Lightning을 사용하는 조직은 학습 환경에 접근 가능한 자격증명이 노출되었을 수 있다고 가정해야 합니다.
영향받는 시스템
PyTorch Lightning 버전 2.6.2 및 2.6.3. AI 모델 학습 파이프라인, MLOps 플랫폼 또는 이러한 버전을 사용하는 연구 환경을 실행하는 조직은 자격증명 노출 여부를 감사해야 합니다. 서비스 계정, API 키 또는 비밀 저장소에 접근할 수 있는 클라우드 기반 학습 환경이 특히 위험합니다.
완화 방안
즉시 PyTorch Lightning을 패치된 버전으로 업그레이드하십시오(2026년 5월 14일 현재 NVD 항목에서 버전 세부 정보가 아직 지정되지 않음; 수정 지침은 GitHub 권고 GHSA-w37p-236h-pfx3를 확인하십시오). PyTorch Lightning 2.6.2 또는 2.6.3이 실행된 환경에서 접근 가능했던 모든 자격증명을 회전하십시오. 여기에는 클라우드 IAM 자격증명, API 키 및 비밀 저장소 토큰이 포함됩니다. 자격증명 유출의 증거가 있는지 학습 작업 로그 및 환경 구성을 감사하십시오.