近期,网络安全领域连续曝出两起影响范围极广的高危漏洞事件——LiteLLM远程代码执行漏洞以及FreeBSD dhclient远程命令执行漏洞。一个出现在新兴AI服务链路中,另一个则隐藏在基础网络协议组件中长达21年之久。
LiteLLM是一款被广泛用于AI应用中的代理与网关工具,在大模型调用、接口转发以及多模型管理场景会比较常见。这次曝光的安全问题主要是是出在了测试接口的设计上。因为缺乏严格的沙箱隔离机制,导致接口在处理模板渲染的时候存在严重的安全缺陷。一旦攻击者获取有效的API密钥以后,就能够向接口提交构造好的恶意模板数据。因为服务端直接输入内容执行渲染,安全过滤不充分,所以最终很容易导致攻击者可以在LiteLLM运行环境中执行任意系统命令。
FreeBSD dhclient漏洞与LiteLLM代码执行漏洞不一样,更像是遗留问题的典型特征。FreeBSD dhclient漏洞存在于系统自带的DHCP客户端工具中,直到近期才被安全研究人披露出来。虽然这个漏洞的本质不复杂,但是影响却很严重。攻击者只需要和目标设备在同一个局域网或同一云网络环境中,就可以通过搭建恶意DHCP服务器发起攻击。
上述两个漏洞并非是孤立的事件,其实他们反而反映出当前网络安全的趋势。无论AI工具还是基础的组件,只要存在未加防护的输入点,就可能引起被攻击。有一些潜伏型的漏洞是难以通过短期内发现的,往往容易被忽视,最后造成重大影响。
对于普通用户,特别是需要上网办公,经常下载软件的用户群体,电脑的安全防护不容忽视。除了提高安全意识和做好系统更新漏洞修复以外,安装专业功能全面的电脑软件管家是非常明智的选择。2345安全卫士就是国内免费杀毒软件,它能够通过全盘扫描对病毒进行查杀,而且提供主动防御的功能,帮助修复漏洞进行系统优化。一旦发现恶意代码,立刻弹出弹窗提醒并且设置拦截,隔离危险。2345安全卫士操作非常简单,即使没有专业的知识,也能够对电脑进行全面的防护,是非常值得安装的电脑安全管理软件。
(本内容信息来源于网络,如有侵权或不实之处可联系删除)
