TFSMLayer 绕过 漏洞总结 漏洞概述 CVE-2026-1462 严重性: 高 (8.8) 影响组件: (TFSLayer 类) 核心问题: 在加载外部 TensorFlow SavedModels 时,无视了 的安全设置。虽然 TensorFlow 默认不执行 SavedModel 中的函数,但 会在模型反序列化时注册攻击者控制的图代码,并在正常推理时执行。这违反了 的安全保证,导致任意代码执行。 根本原因: 1. 无条件外部加载: 直接调用 而不检查 。 2. 攻击者可控序列化: 序列化 属性,允许攻击者将任意 SavedModel 路径嵌入 Keras 档案。 3. 缺少 覆盖: 默认实现直接实例化层,未验证 。 影响范围 任意代码执行: 攻击者控制的 TensorFlow 图在受害者权限下执行。 任意文件写入: 通过 。 信息泄露: 通过 和网络图操作。 拒绝服务: 资源耗尽或崩溃。 安全控制绕过: 无法阻止不安全行为。 攻击场景: 模型市场攻击(如 Hugging Face) 供应链攻击(预训练模型被替换) 定向攻击 修复方案 建议修复: 在 中验证 ,禁止反序列化 。 代码实现: 概念验证 (POC) 代码 步骤 1: 创建恶意 TensorFlow SavedModel 步骤 2: 通过 TFSMLayer 嵌入 SavedModel 步骤 3: 受害者加载模型(即使设置 safe_mode=True) 观察结果: 被创建,证明代码执行成功。