文章总结： PyTorch框架曝出高危漏洞CVE-2026-24747，CVSS评分8.8。该漏洞绕过了weights_only安全加载机制，利用反序列化器验证缺陷导致堆内存破坏或数据不匹配，从而在用户进程中执行任意代码。受影响版本为2.9.1及之前，建议立即升级至2.10.0版本，或在沙箱环境中谨慎加载不明来源的模型文件。 综合评分： 88 文章分类： 漏洞预警,AI安全,供应链安全,漏洞分析

CVE-2026-24747：PyTorch模型加载功能曝出8.8分高危漏洞

看雪学苑 看雪学苑

看雪学苑

2026年1月29日 18:00 上海

近日，支撑现代深度学习研究与应用的PyTorch框架曝出一项严重安全漏洞，其专门设计用于防范恶意模型文件的安全加载机制遭到绕过。该漏洞编号为CVE-2026-24747，CVSS评分为8.8（高危等级），可导致攻击者在用户进程中执行任意代码，即使受害者已启用官方推荐的安全防护选项。

“安全模式”为何失守？

在PyTorch中，开发者常使用torch.load()函数加载训练好的模型文件。由于传统的Python pickle机制存在执行任意代码的风险，PyTorch引入了weights\_only=True参数，承诺仅加载模型权重数据、阻断任何潜在的可执行代码。

然而，安全研究人员发现，这一安全验证机制并未完全奏效。漏洞根源在于“仅加载权重”的反序列化器未能充分验证pickle操作码与存储元数据。攻击者可通过构造恶意的.pth模型文件，触发两类问题：

1.堆内存破坏：对非字典类型应用SETITEM或SETITEMS操作码，导致内存结构损坏；

2. 存储数据不匹配：声明的元素数量与实际归档数据大小不一致，引发系统异常。

当用户自信地以“安全模式”加载这类恶意文件时，内存破坏可能被利用，进而劫持整个进程。

AI供应链安全面临现实威胁

该漏洞尤其对AI开源生态构成严重威胁。许多研究人员与工程师习惯从Hugging Face、GitHub等公共平台下载并测试他人发布的模型检查点。一旦恶意文件被上传至这些平台，就可能被广泛下载与加载。

根据官方通告，任何运行PyTorch 2.9.1及之前版本的环境均受影响。攻击者只需诱使用户加载恶意检查点文件，便能在受害者进程上下文中执行任意代码。

紧急修补方案已发布

PyTorch开发团队已在2.10.0版本中修复该漏洞。强烈建议所有开发者、研究人员与企业立即升级PyTorch至最新版本，以确保模型加载过程真正安全。

对于暂时无法升级的用户，应谨慎对待来源不明的模型文件，尽量仅从可信渠道获取模型检查点，并在沙箱或隔离环境中运行相关加载代码。

本文基于PyTorch官方安全公告及相关技术分析撰写，漏洞编号CVE-2026-24747，详细信息可参阅PyTorch官方发布的安全更新说明。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《CVE-2026-24747：PyTorch模型加载功能曝出8.8分高危漏洞》