В современном мире технологии искусственного интеллекта активно развиваются, а облачные сервисы на базе GPU становятся неотъемлемой частью инфраструктуры для обучения и запуска AI-моделей. Одним из важных компонентов таких систем является NVIDIA Container Toolkit, обеспечивающий возможность создания и управления контейнерами с поддержкой GPU. Однако недавно обнаруженная критическая уязвимость в этом инструменте заставила многих пересмотреть подходы к безопасности в области AI и облачных систем. Уязвимость, известная как CVE-2025-23266 и получившая кодовое имя NVIDIAScape, характеризуется высоким уровнем опасности с оценкой CVSS 9.0 из 10.
По данным исследователей компании Wiz, владеющей Google, данный баг позволяет злоумышленнику выполнить произвольный код с повышенными правами, что приводит к возможности полностью взять под контроль сервер, на котором работают AI-сервисы. Проблема кроется в неправильной конфигурации элемента Open Container Initiative (OCI) hook под названием createContainer. В процессе инициализации контейнера используется определённый скрипт, который загружает необходимые библиотеки. За счёт уязвимости в способе обработки переменной окружения LD_PRELOAD злоумышленник может внедрить вредоносную библиотеку прямо из образа контейнера и добиться исполнения кода на уровне хоста. Особое значение имеет то, что createContainer hook выполняется в контексте корневой файловой системы контейнера.
Это существенно облегчает задачу атакующего — ему достаточно добавить всего три строки в Dockerfile для загрузки своей библиотеки в привилегированный процесс. Такой простой метод эксплуатации, доступный даже при относительно поверхностных знаниях контейнеризации, создает серьёзную угрозу безопасности. Согласно статистике исследователей Wiz, уязвимость затрагивает около 37% облачных сред, что говорит о широком распространении NVIDIA Container Toolkit в критически важных инфраструктурах. Наиболее ощутимым риском является возможность кражи, изменения или полного уничтожения данных, а также вмешательство в работу AI-моделей, которые зачастую считаются интеллектуальной собственностью с огромной ценностью для компаний. Уже представлены обновления NVIDIA, закрывающие данную брешь в версиях Toolkit начиная с 1.
17.8 и GPU Operator с версии 25.3.1. Однако, учитывая массовое применение данного ПО, процесс обновления во всех облаках занимает время, а в некоторых случаях администраторы могут не знать о необходимости срочной установки патча, что оставляет системы уязвимыми.
Необходимо отметить, что это далеко не первая выявленная проблема безопасности в NVIDIA Container Toolkit. Несколько месяцев назад специалисты Wiz обнаружили обход защиты для уязвимостей CVE-2024-0132 и CVE-2025-23359, тоже способных привести к полному захвату хоста. Такие постоянные инциденты показывают, что безопасность контейнеров, особенно в мультиарендных облачных окружениях, нельзя считать полностью надежной. Исследователи обращают внимание, что несмотря на растущую популярность и внимание к вопросам AI-безопасности, основная угроза все еще исходит от традиционных уязвимостей в инфраструктуре. Использование контейнеров зачастую воспринимается как надежный способ изоляции процессов, однако на практике они не гарантируют абсолютной безопасности.
В частности, когда речь идет о многопользовательских облаках, следует всегда рассчитывать на вероятность взлома и использовать дополнительные уровни защиты, например виртуализацию или аппаратные механизмы безопасности. Для компаний и специалистов по безопасности рекомендация очевидна — необходимо немедленно проверить используемые версии NVIDIA инструментов и оперативно применять предложенные обновления. Кроме того, важно внедрять комплексные меры безопасности, включая регулярный аудит контейнеров, мониторинг поведений процессов, ограничение прав доступа и сегментацию ресурсов. Немаловажно также уделять внимание обучению сотрудников, отвечающих за безопасность и поддержку инфраструктуры. Знание о последних уязвимостях и умение быстро реагировать на такие угрозы критично в условиях высокой динамики и масштабирования AI-сервисов.
В конечном итоге, уязвимость CVE-2025-23266 служит напоминанием, что развитие технологий требует постоянного внимания к вопросам безопасности. В эпоху искусственного интеллекта защита инфраструктур становится еще более значимой не только с технической, но и с коммерческой точки зрения. Ведь утечка или компрометация данных моделей способна привести к колоссальным потерям для бизнеса и подорвать доверие пользователей. Совсем недавно паника строилась вокруг гипотетических угроз, связанных с потенциальными атаками, исходящими от ИИ. Тем не менее именно старые, хорошо известные уязвимости, как показывает практика, остаются главными врагами цифровой безопасности.
И именно они должны стать в приоритет для системных администраторов и команд кибербезопасности. Таким образом, для защиты AI-облаков на базе NVIDIA Container Toolkit важно не только своевременно обновлять программное обеспечение, но и использовать многоуровневую защиту с учетом особенностей контейнеризации и управления привилегиями. Соблюдение лучших практик безопасности поможет минимизировать риски и сохранить целостность данных, что особенно важно при работе с ценными интеллектуальными ресурсами и чувствительной информацией. За счет быстрого реагирования на угрозы, обмена информацией между исследовательскими центрами и развитием технологий защиты индустрия сможет идти в ногу с ростом масштабов AI и облачных вычислений, обеспечивая надежную и безопасную работу сервисов для миллионов пользователей по всему миру.
