CentOS下PyTorch的安全性问题

CentOS下PyTorch安全性要点与加固清单

一 主要风险概览

• 模型与数据资产风险：训练/推理涉及敏感数据与模型权重，一旦泄露将带来合规与经济损失，并可能被用于对抗样本等攻击。
• 加载机制风险：PyTorch的序列化机制若处理不可信模型，可能引发任意代码执行；自2.6起 torch.load 的 weights_only 默认为 True 以提升安全性，但错误配置或旧项目兼容问题仍可能导致风险暴露。
• 依赖与供应链风险：历史上曾出现 PyPI 同名恶意包 torchtriton 事件，提示必须严格管控安装来源与依赖完整性。
• 运行环境风险：服务暴露面过大、访问控制薄弱、未及时打补丁等系统层面问题，会放大框架层风险。

二 近期漏洞与版本建议

• 关注官方与云厂商通告的漏洞信息。近期有通报指出 PyTorch 存在远程代码执行漏洞 CVE-2025-32434：在使用 torch.load(..., weights_only=True) 的场景下可能被利用。建议立即升级至包含修复的最新版本，并对来自不可信来源的模型文件保持禁用或严格校验。
• 若因兼容性原因暂无法升级，务必仅加载可信模型，最小化攻击面，并在隔离环境中验证后再上线。

三 模型加载与依赖安全实践

• 升级至 PyTorch ≥ 2.6 并优先使用 torch.load(..., weights_only=True)；如加载旧权重失败，按报错提示使用 torch.serialization.add_safe_globals(...) 白名单化所需对象，而非直接改为 weights_only=False。
• 示例代码（仅对可信来源使用白名单方式）：
  • import torch; from numpy.core.multiarray import _reconstruct; torch.serialization.add_safe_globals([_reconstruct])
• 严禁对不可信模型使用 weights_only=False（等价于旧版默认行为），该模式存在任意代码执行风险。
• 依赖安装与验证：优先使用官方渠道与受信镜像；对关键包进行哈希校验与版本固定；避免来源不明的预编译包与 nightly 包。

四 CentOS系统加固清单

• 系统与账户
  • 使用 yum/dnf 及时更新系统与内核；仅启用必需服务与自启项。
  • 禁用 root 远程登录，使用 sudo 提权；强制 SSH 公钥认证、禁用密码登录；按需修改默认端口并限制可登录用户。
• 网络与隔离
  • 通过 firewalld/iptables 实施最小端口放行；模型推理服务尽量置于内网/VPC，对外仅暴露必要接口，必要时增加 反向代理/API 网关与速率限制。
• 权限与审计
  • 以最小权限运行服务账户；开启 SELinux 或最小权限的容器/沙箱；启用 auditd/rsyslog 进行关键文件与命令审计，集中留存与定期审计。
• 备份与恢复
  • 对模型权重、配置与训练数据实施定期备份与离线留存，并进行恢复演练。

五 快速核查清单

注意：涉及安全配置与漏洞处置的操作可能引入兼容性或可用性影响，请在测试环境验证后再行上线，并遵循您所在组织的变更管理流程。