LMDeploy LLM推論工具SSRF漏洞公開後13小時內即遭利用

LMDeploy是用於壓縮、部署與服務大型語言模型的工具，可提供文字模型與視覺語言模型推論服務。CVE-2026-33626漏洞原因出於視覺語言模組處理圖片URL的流程，load_image()函式在抓取遠端圖片時，未先驗證目標是否為內部IP、私有網段或連結本機（link-local）位址。對外開放的推論服務若允許使用者傳入圖片URL，後端伺服器就可能成為攻擊者存取內部資源的跳板。

Sysdig以GitHub主要安全公告頁面公開時間計算，該公告於臺灣時間為4月21日23時04分公開，Sysdig團隊於4月22日11時35分在蜜罐觀測到首次利用嘗試，時間差為12小時31分鐘。研究人員指出，當時未在GitHub或主要漏洞利用程式庫看到公開概念驗證程式，攻擊者可能已能依安全公告中的受影響檔案、參數與檢查缺口，自行組合可運作的攻擊流程。

根據蜜罐觀測到的行為推斷，研究人員認為，攻擊者並非只驗證漏洞是否存在，而是把圖片載入功能當成HTTP請求代理，用於雲端憑證與內網服務偵察。

由於SSRF可讓伺服器從受害環境內部發出請求，其影響取決於推論節點的部署方式。當節點部署在雲端GPU執行個體並綁定較高權限角色，中繼資料服務可能暴露臨時憑證，要是同一主機或叢集內有Redis、MySQL或管理介面，攻擊者也可能藉由連線回應確認服務存在。

使用LMDeploy的團隊應優先升級至0.12.3或後續版本，若短期無法更新，應在反向代理或API閘道濾除不可信image_url，或暫時停用視覺模型端點。對已公開暴露且使用0.12.2或更早版本的部署，研究人員建議檢查是否有目標為169.254.169.254、127.0.0.1與私有網段的異常請求，必要時輪換IAM角色憑證，並以IMDSv2、VPC出口限制與執行期偵測降低後續風險。