文章总结： HuggingFaceTextGenerationInference3.3.6及之前版本存在高危漏洞CVE-2026-0599，攻击者可利用VLM模式下的Markdown图像链接发起无限制HTTP请求，导致内存、CPU及带宽耗尽引发服务崩溃。建议立即升级至3.3.7及以上版本，同时配置资源限制、启用身份认证、限制外部资源加载并加强监控告警以防范风险。 综合评分： 90 文章分类： 漏洞预警,AI安全,WEB安全,解决方案

【AI高危漏洞预警】HuggingFace VLM图像获取漏洞CVE-2026-0599

cexlife cexlife

飓风网络安全

2026年2月3日 17:43 北京

漏洞描述:

huɡɡinɡfасе/tехt-ɡеnеrаtiоn-infеrеnсе版本3.3.6中存在一个漏洞,允许未认证的远程攻击者在VLM 模式下利用输入验证期间无限制的外部图像获取进行攻击,该问题出现在路由器扫描输入中的Mаrkdоԝn图像链接并执行阻塞式 HTTP GET请求时会将整个响应体读入内存并克隆后再进行解码。此行为可能导致资源耗尽包括网络带宽饱和、内存膨胀和CPU过度使用。即使请求因超过令牌限制而被拒绝,该漏洞仍会被触发。默认部署配置缺乏内存使用限制和身份验证加剧了影响,可能导致主机机器崩溃,该问题已在版本3.3.7中修复

影响产品及版本:

HuggingFace Text Generation Inference（TGI）服务,受影响版本为3.3.6及之前版本

攻击场景:

攻击者可通过构造包含恶意Markdown图像链接的请求,触发服务在 VLM（视觉语言模型）模式下对远程图像资源进行无限制的阻塞式HTTP GET 请求,该请求会将整个响应体加载至内存并进行克隆解码导致内存、CPU 和网络带宽被迅速耗尽

修复建议:

目前官方已有可更新版本,建议受影响用户升级至最新版本

建议措施:

立即升级:所有使用HuggingFace Text Generation Inference服务的用户应立即升级至3.3.7或更高版本

配置资源限制:在部署时启用–max-model-len、–max-batch-size 等参数并结合容器级资源配额（如 Docker的–memory 和–cpus）防止资源耗尽

禁用或限制外部资源加载:若非必要,建议在VLM模式下禁用外部图像加载功能,或通过中间代理对图像URL进行白名单校验

启用身份验证与访问控制:部署时必须启用JWT或API Key认证机制,防止未授权访问

监控与告警:对服务端的内存使用率、HTTP 请求频率、外部连接数等指标进行实时监控,设置异常阈值告警

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【AI高危漏洞预警】HuggingFace VLM图像获取漏洞CVE-2026-0599》