pytorch の脆弱性

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2025-32434

pytorch の重みのロード処理に脆弱性が発見された。

バージョン

• pytorch 2.5.1 以前で起るらしい
• 2.6 以降は対策されている

なお、 2.6.0 のリリースは 2025/1/30 なので、 今年に入ってから環境を構築した人以外は対象になる。 というか、最近環境を構築した人も念の為確認すべき。

これを悪用されると、悪意ある野良の重みファイルをロードすると攻撃される。

つまり、第三者が作成した重みファイルをロードする可能性がある環境は、 クラウドはもちろんローカルでもアウト。

脆弱性のスコアは 9.3 CRITICAL 。 マジでヤバいから対応しろ、というレベル。

特に AI で色々なモデルをロードして試しているような人は必須。

ちなみに、 rye で管理している場合は以下を実行すれば更新できる.

1
2

$ rye add "torch>=2.6.0"
$ rye syn