기술 설명
LMDeploy (InternLM의 대규모 언어 모델 압축, 배포 및 서빙 툴킷)의 0.12.3 버전 이하는 여러 HuggingFace 모델 로딩 호출 지점에서 trust_remote_code=True를 하드코딩합니다. 이는 LMDeploy에서 로드되는 모든 HuggingFace 모델이 사용자 프롬프트나 오버라이드 옵션 없이 모델 초기화 중에 임의의 Python 코드를 실행할 수 있다는 의미입니다. CVSS 7.8(높음). 2026년 6월 10일 NVD 공개 당시 사용 가능한 패치가 없었습니다.
공격 경로
LMDeploy 배포를 악의적이거나 손상된 HuggingFace 모델을 로드하도록 할 수 있는 공격자(예: 모델 레지스트리의 공급망 타협, 모델 추천 메커니즘, 또는 개발자가 공격자가 제어하는 모델을 다운로드하는 경우)는 LMDeploy 프로세스의 컨텍스트에서 임의의 코드 실행을 달성할 수 있습니다. 일반적으로 클라우드 IAM 역할이나 GPU 클러스터 자격증명으로 실행됩니다.
영향받는 시스템
LMDeploy 버전 ≤ 0.12.3 (GitHub의 InternLM/lmdeploy); HuggingFace 모델을 서빙하거나 벤치마킹하기 위해 LMDeploy를 사용하는 모든 ML 추론 파이프라인, 미세조정 워크플로우 또는 모델 평가 시스템.
완화 방안
2026년 6월 10일 기준 사용 가능한 패치 없음. 임시 통제 조치: (1) 출처 체크섬이 있는 검증된 내부 큐레이션 모델 레지스트리에서만 모델 로드; (2) 최소 IAM 권한 및 네트워크 이그레스 제한이 있는 샌드박스 환경에서 LMDeploy 프로세스 실행; (3) 외부 소스 모델에 대한 현재 LMDeploy 배포 감사; (4) 패치 릴리스에 대한 InternLM GitHub 공지(GHSA-m549-qq94-fvhg)를 추적하고 사용 가능할 때 즉시 업데이트.