Nguyễn Tiến Đạt
Intern Writer
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong SGLang đang làm dấy lên lo ngại trong cộng đồng công nghệ khi có thể bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Theo thông tin từ CERT/CC, lỗ hổng mang mã CVE-2026-5760 có điểm CVSS lên tới 9,8/10, được xếp vào mức độ nghiêm trọng cao. Đây là dạng tấn công chèn lệnh, cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ.
SGLang là một framework mã nguồn mở hiệu năng cao, được sử dụng rộng rãi để triển khai các mô hình ngôn ngữ lớn và hệ thống AI đa phương thức. Với hàng chục nghìn lượt quan tâm trên GitHub, nền tảng này đang được nhiều tổ chức và nhà phát triển sử dụng trong các hệ thống AI thực tế.
Điểm đáng chú ý của lỗ hổng nằm ở điểm cuối “/v1/rerank”. Kẻ tấn công có thể tạo ra các tệp mô hình GGUF độc hại, trong đó chèn mã khai thác thông qua cơ chế template của Jinja2. Khi người dùng tải và chạy mô hình này, đoạn mã độc có thể được kích hoạt và thực thi ngay trên máy chủ.
Cụ thể, tệp mô hình bị chỉnh sửa sẽ chứa payload tấn công dạng SSTI (Server-Side Template Injection). Khi hệ thống xử lý yêu cầu, template độc hại được render và cho phép thực thi mã Python tùy ý, mở đường cho việc chiếm quyền kiểm soát hệ thống.
Nguyên nhân cốt lõi của lỗ hổng được xác định đến từ việc sử dụng môi trường template không được sandbox hóa trong Jinja2. Điều này khiến hệ thống không có cơ chế ngăn chặn việc thực thi mã nguy hiểm từ các template đầu vào.
Các chuyên gia nhận định, lỗ hổng này có nhiều điểm tương đồng với các sự cố trước đó như “Llama Drama” (CVE-2024-34359) hay lỗi trong vLLM, cho thấy xu hướng gia tăng rủi ro bảo mật trong các nền tảng AI mã nguồn mở.
Để giảm thiểu nguy cơ, các chuyên gia khuyến nghị nhà phát triển cần sử dụng môi trường sandbox an toàn hơn khi xử lý template, đồng thời hạn chế tải và triển khai các mô hình từ nguồn không đáng tin cậy.
Trong bối cảnh AI ngày càng được tích hợp sâu vào hạ tầng công nghệ, những lỗ hổng như CVE-2026-5760 được xem là lời cảnh báo rõ ràng về tầm quan trọng của bảo mật trong kỷ nguyên trí tuệ nhân tạo.
Theo thông tin từ CERT/CC, lỗ hổng mang mã CVE-2026-5760 có điểm CVSS lên tới 9,8/10, được xếp vào mức độ nghiêm trọng cao. Đây là dạng tấn công chèn lệnh, cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ.
SGLang là một framework mã nguồn mở hiệu năng cao, được sử dụng rộng rãi để triển khai các mô hình ngôn ngữ lớn và hệ thống AI đa phương thức. Với hàng chục nghìn lượt quan tâm trên GitHub, nền tảng này đang được nhiều tổ chức và nhà phát triển sử dụng trong các hệ thống AI thực tế.
Điểm đáng chú ý của lỗ hổng nằm ở điểm cuối “/v1/rerank”. Kẻ tấn công có thể tạo ra các tệp mô hình GGUF độc hại, trong đó chèn mã khai thác thông qua cơ chế template của Jinja2. Khi người dùng tải và chạy mô hình này, đoạn mã độc có thể được kích hoạt và thực thi ngay trên máy chủ.
Cụ thể, tệp mô hình bị chỉnh sửa sẽ chứa payload tấn công dạng SSTI (Server-Side Template Injection). Khi hệ thống xử lý yêu cầu, template độc hại được render và cho phép thực thi mã Python tùy ý, mở đường cho việc chiếm quyền kiểm soát hệ thống.
Nguyên nhân cốt lõi của lỗ hổng được xác định đến từ việc sử dụng môi trường template không được sandbox hóa trong Jinja2. Điều này khiến hệ thống không có cơ chế ngăn chặn việc thực thi mã nguy hiểm từ các template đầu vào.
Các chuyên gia nhận định, lỗ hổng này có nhiều điểm tương đồng với các sự cố trước đó như “Llama Drama” (CVE-2024-34359) hay lỗi trong vLLM, cho thấy xu hướng gia tăng rủi ro bảo mật trong các nền tảng AI mã nguồn mở.
Để giảm thiểu nguy cơ, các chuyên gia khuyến nghị nhà phát triển cần sử dụng môi trường sandbox an toàn hơn khi xử lý template, đồng thời hạn chế tải và triển khai các mô hình từ nguồn không đáng tin cậy.
Trong bối cảnh AI ngày càng được tích hợp sâu vào hạ tầng công nghệ, những lỗ hổng như CVE-2026-5760 được xem là lời cảnh báo rõ ràng về tầm quan trọng của bảo mật trong kỷ nguyên trí tuệ nhân tạo.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
