360数字安全发现SGLang存在高危远程代码执行漏洞CVE-2025-10164，影响全球数百万大模型推理节点。360携手国家相关单位，通过安全智能体和联合防控机制，成功阻断漏洞利用，实现“野外零利用”。此次事件凸显AI基础设施安全重要性，360以“安全+AI”双引擎能力，为大模型安全应用筑牢防线。

🔍 360数字安全发现开源推理框架SGLang存在高危Pickle反序列化远程代码执行（RCE）漏洞CVE-2025-10164，该漏洞影响几乎所有部署SGLang的GPU服务器，涵盖国内外顶尖AI研发机构，导致全球数百万大模型推理节点暴露于风险之下。

🛡️ 面对此漏洞，360在确认其可稳定复现后，立即向国家相关单位上报，并启动联合防控机制。在官方补丁发布前，360依托安全智能体协助完成境内风险资产清点，并推动重点单位实施访问控制、接口下线或白名单策略，成功阻断漏洞利用。

🤝 此次漏洞的精准发现与闭环处置，体现了360‘安全+AI’双引擎能力的实战价值。360安全智能体基于自主学习与推理，实现了从‘被动响应’到‘主动发现、智能预警’的技术跃迁，为大模型安全应用筑牢防线。

🔧 SGLang漏洞源于其支持强化学习训练中的动态权重更新，开放的HTTP接口/update_weights_from_tensor未对反序列化内容做任何校验，导致攻击者可构造恶意载荷执行任意代码，获取目标服务器最高控制权限。

🚀 360以此次事件为契机，将持续强化核心技术投入，深化数字安全与人工智能的融合发展，为千行百业的数字化转型提供坚实保障。

2025-10-27 17:34 北京

百万服务器告急！360携手国家相关单位阻断SGLang高危漏洞危机

360数字安全