2025年大模型供应链安全的熵增效应：风险挖掘与熵减策略报告

大模型供应链安全的熵增效应：风险挖掘与熵减策略vivo大模型安全工程师，专注于大模型安全研究，涵盖模型框架层安全、AI产品vivo大模型安全工程师，主要从事大模型基础设施和大模型产品的攻防研究，发现H(x)=-H(x)=-ΣP(x)log2P(x)熵增效应：组件增加→攻击面扩大→风险上升系统组件/依赖数量系统组件/依赖数量参数量（亿）参数量（亿）015,60010,000AlibabaQwen3数据采集→数据处理→训练→模Gemini-Ultra,PanGu-Σ,10,850,Megatron-TuringMegatron-Turing LLaMA,6,500DeepSeek-V3.1,6,710DeepSeek-V3.1,6,710,\PaLM5,400\PaLM5,400oLlama3.1,4,050GPT-3,1,750GrokGrok1,3,140GPT-2,15Ernie3.0Titan,2,600201720182019202020212022202320242025API服务商大模型系统第三方插件厂商API服务商大模型系统第三方插件厂商find_duplicates.py在处理--load-fingerprints指定的文件时直接使用pickle.load()反序列化且未做验证，运行通过恶意构造的指纹文件触发恶意代码filter_ngrams.py在未对用户提供的字典文件做验证的情况下直接使用pickle.load()反序列化文tools组件在读取用户输入的生成token数时对input()的内容直接使用eval()，且未对输入作验证在arguments.py对用户提供的--moe-layer-freq参数，未作校验直接使用eval()解析process_samples_from_single_path()在解析TSV数据集时对未信任的输入直接使用对用户提供的model_path使用torch.load()盲目反序列化，恶意模型文件加载时触发RCE在process_files()中对用户指定的--paths直接使用torch.load()反序列化未信任的.pt文件加载.mdl文件时对来自远程仓库或用户的文件直接使用pickle.load()反序在run.py中对用户YAML配置使用yaml.load()，可被恶意构造的yaml注入并触发恶意代码执行llamafy_baichuan2.py脚本对用户指定目录下的.bin文件使用torch.loa击者通过提供恶意.bin（例如放入被克隆/下载的项目或压缩包）在加verlmodel_merger.py在合并FSDP检查点时对外部.pt文件直接使用tjs2py支持在js中导入并使用python包，攻击者可以在js2py环境中用一个python对象•数据不是简单无害的纯文本/vuln/利用项目源代码中的函数编写测试利用项目源代码中的函数编写测试demo__import__('os').system('mkdirHACKED!')__import__('os').system('mkdirHACKED!')漏洞实际触发位置注释与测试无关的代码漏洞实际触发位置注释与测试无关的代码/vuln/mkdirHACKED!指令成功执行•数据共享和协作场景普遍•供应链攻击链条清晰•攻击门槛低、危害高/vuln//vuln/依据源代码编写依据源代码编写测试demo恶意指令漏洞触发位置/vuln//vuln/导致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif导致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif导致RCECVE-2025-504721.指令执行后，自动从模型库下载恶意模型HaoFan2024/ms-swift-test-fanhao/vuln//models/HaoFan2024/ms-swif导致RCECVE-2025-504722.恶意指令在训练开始前执行（加载.mdl文件时），但训练过程还能继续正常进行，不易被察觉/vuln//models/HaoFan2024/ms-swif导致RCECVE-2025-50472/vuln//models/HaoFan2024/ms-swif软件包原名软件包原名模型和镜像的拉取，也依赖具体的命名，同样存在拼写命名复用是指开发包、模型等依赖被作者注销后，攻击者复用相同的命名进行注册，悄无声息正常依赖替换为被投毒过的依赖fromtransformersimportAutofromtransformersimportAuto)模型转移给其它用户后，通过原命名仍可访问/model-namespace-reuse/fromtransformersimportAutoMfromtransformersimportAutoM)模型命名复用(模型命名复用(fromtransformersimportAutoMfromtransformersimportAutoM)账户删除、重建生效后，仍然可以通过原名称下载到模型。直至创建同名仓库，实现抢注…推理框架承载大模型的运行与服务，是连接算法与应用的关一旦推理框架存在安全漏洞，将直接危及所有依赖其服务TensorRT-TensorRT-LLM暴露在公网，攻击者可以滥用如下接口，造成模型泄露、GPU资源占用、业务中断、数据丢失CVE-2024-8939这些应用既面临着传统的应用漏洞安全风险，也带来了AI特有的安企大模型智能体应用提供了大量发起网络请求的功能，如果对请求目标没有做好限制，就可能存在SSRF漏洞CVE-2024-12775、CVE-2025-0184智能体的沙箱逃逸会对其它用户和主机造成CVE-2024-10252CVE-2025-3466智能体的沙箱逃逸会对其它用户和主机造成CVE-2024-10252CVE-202