Уязвимость в LMDeploy — открытом наборе инструментов для компрессии, развёртывания и обслуживания языковых моделей — была эксплуатирована менее чем через 13 часов после публикации на GitHub. Точнее: через 12 часов и 31 минуту. Исследователь из компании Orca Security Игорь Степанский обнаружил баг в функции
Атаку зафиксировала компания Sysdig, занимающаяся безопасностью облачных сред. Их honeypot-системы поймали первое обращение 22 апреля 2026 года в 03:35 UTC. Сессия длилась всего 8 минут, включала 10 отдельных запросов и разворачивалась в 3 фазы. Атакующий работал с IP-адреса 103.116.72[.]119 и не просто проверял факт уязвимости — он методично исследовал периметр. В его прицеле оказались AWS Instance М⃰data Service (IMDS), экземпляры Redis и MySQL, а также вторичный HTTP-интерфейс администрирования. Параллельно злоумышленник прощупывал петлевой интерфейс 127.0.0[.]1 на предмет открытых портов и проверял возможность внешней коммуникации через OOB DNS-callback на домен
Этот тип атаки — Server-Side Request Forgery (SSRF) — превращает сервер жертвы в прокси для запросов к ресурсам, которые снаружи недоступны. В контексте облачной инфраструктуры это особенно опасно: AWS IMDS раздаёт временные учётные данные по запросу к адресу 169.254.169.254, и если сервер готов туда ходить без ограничений — атакующий получает ключи от всего аккаунта. Дальше — горизонтальное перемещение по инфраструктуре, доступ к внутренним сервисам, которые никогда не предполагались доступными извне.
Чтобы не вызвать подозрений, атакующий чередовал разные Vision Language Models при отправке запросов — использовались модели internlm-xcomposer2 и OpenGVLab/InternVL2-8B. Это попытка маскировки под легитимную активность: разные модели, разные запросы, единый вектор атаки. Sysdig за последние шесть месяцев фиксировали эту закономерность неоднократно — быстрое оружейное использование свежих уязвимостей в AI-инфраструктуре превращается в устойчивую практику.
Здесь стоит остановиться на механизме, который сокращает время от публикации до эксплойта. Детальные security advisory, которые пишут исследователи для ответственного раскрытия информации, содержат всё необходимое: описание уязвимой функции, путь к файлу, тип атаки, условия воспроизведения. Для коммерческих LLM такой advisory фактически является готовым промптом для генерации рабочего эксплойта. Никакого PoC не нужно — достаточно хорошо написанного описания и языковой модели, умеющей писать код. Это меняет уравнение: раньше между раскрытием и атакой был временной буфер, пока кто-то руками разрабатывал эксплойт. Теперь этого буфера почти нет.
Параллельно идут атаки на WordPress. Два плагина попали под активные кампании с практически одинаковым сценарием — загрузка произвольных файлов, выполнение кода, полный захват сайта. Плагин Ninja Forms – File Upload получил CVE-2026-0740 с оценкой CVSS 9.8. Плагин Breeze Cache — CVE-2026-3844, тоже 9.8. Обе оценки соответствуют критическому уровню, и это цифры: 9.8 означает удалённую эксплуатацию без аутентификации с полным контролем над системой. Для WordPress-экосистемы с её сотнями тысяч сайтов на устаревших плагинах это катастрофический масштаб потенциального ущерба.
Третья кампания — самая масштабная географически. С сентября по ноябрь 2025 года неизвестные атаковали промышленные контроллеры (PLC) с поддержкой протокола Modbus, доступные из интернета. Исследователи из Cato Networks задокументировали атаки на 14 426 уникальных IP-адресов в 70 странах. Среди наиболее пострадавших — США, Франция, Япония, Канада и Индия. Часть атак была геолоцирована на Китай. Методика включала крупномасштабное автоматизированное сканирование, выборочное снятие отпечатков устройств и попытки нарушить работу оборудования или изменить его параметры. Атакующие использовали свежие или ротируемые хосты с нулевой или минимальной публичной репутацией — чтобы не попасть в блеклисты сразу.
Modbus — протокол 1979 года, изначально разработанный для изолированных производственных сетей. В нём нет аутентификации, нет шифрования, нет какой-либо встроенной защиты: предполагалось, что если устройство в сети — оно там по делу и ему можно доверять. Когда такое оборудование оказывается напрямую в интернете, оно становится абсолютно беззащитным. Атакующий может читать и записывать регистры, менять уставки, останавливать процессы. В зависимости от того, что именно контролирует PLC — это может быть водоснабжение, электроснабжение, производственная линия.
Все три кампании объединяет одна логика: автоматизация атак снижает порог входа и увеличивает скорость. Уязвимость в LMDeploy прошла путь от advisory до реальной атаки за половину рабочего дня. Сканирование 14 тысяч промышленных устройств в 70 странах — это не ручная работа и скрипты и ботнеты. WordPress-кампании эксплуатируют плагины с оценкой 9.8 через массовые автоматизированные проверки.
AI-инфраструктура при этом оказывается особенно привлекательной целью по нескольким причинам. Во-первых, она часто разворачивается быстро, иногда силами команд, которые глубже понимают ML-пайплайны, чем сетевую безопасность. Во-вторых, inference-серверы нередко имеют доступ к облачным учётным данным — чтобы подгружать модели из хранилищ. В-третьих, такие инструменты, как LMDeploy, обрабатывают внешние данные по своей природе: изображения, URL, файлы — всё это потенциальные векторы атаки, если валидация сделана небрежно.
Функция
load_image(), расположенной в файле lmdeploy/vl/utils.py. Суть проблемы проста: функция получает произвольные URL-адреса из визуально-языкового модуля без какой-либо проверки на принадлежность к внутренним или приватным IP-диапазонам. Уязвимость получила идентификатор CVE-2026-33626, advisory GHSA-6w67-hwm5-92mq и оценку CVSS 7.5 — высокая степень опасности. Затронуты версия 0.12.0 и все предшествующие с поддержкой vision-language. Изображение носит иллюстративный характер
Атаку зафиксировала компания Sysdig, занимающаяся безопасностью облачных сред. Их honeypot-системы поймали первое обращение 22 апреля 2026 года в 03:35 UTC. Сессия длилась всего 8 минут, включала 10 отдельных запросов и разворачивалась в 3 фазы. Атакующий работал с IP-адреса 103.116.72[.]119 и не просто проверял факт уязвимости — он методично исследовал периметр. В его прицеле оказались AWS Instance М⃰data Service (IMDS), экземпляры Redis и MySQL, а также вторичный HTTP-интерфейс администрирования. Параллельно злоумышленник прощупывал петлевой интерфейс 127.0.0[.]1 на предмет открытых портов и проверял возможность внешней коммуникации через OOB DNS-callback на домен
requestrepo[.. Этот тип атаки — Server-Side Request Forgery (SSRF) — превращает сервер жертвы в прокси для запросов к ресурсам, которые снаружи недоступны. В контексте облачной инфраструктуры это особенно опасно: AWS IMDS раздаёт временные учётные данные по запросу к адресу 169.254.169.254, и если сервер готов туда ходить без ограничений — атакующий получает ключи от всего аккаунта. Дальше — горизонтальное перемещение по инфраструктуре, доступ к внутренним сервисам, которые никогда не предполагались доступными извне.
Чтобы не вызвать подозрений, атакующий чередовал разные Vision Language Models при отправке запросов — использовались модели internlm-xcomposer2 и OpenGVLab/InternVL2-8B. Это попытка маскировки под легитимную активность: разные модели, разные запросы, единый вектор атаки. Sysdig за последние шесть месяцев фиксировали эту закономерность неоднократно — быстрое оружейное использование свежих уязвимостей в AI-инфраструктуре превращается в устойчивую практику.
Здесь стоит остановиться на механизме, который сокращает время от публикации до эксплойта. Детальные security advisory, которые пишут исследователи для ответственного раскрытия информации, содержат всё необходимое: описание уязвимой функции, путь к файлу, тип атаки, условия воспроизведения. Для коммерческих LLM такой advisory фактически является готовым промптом для генерации рабочего эксплойта. Никакого PoC не нужно — достаточно хорошо написанного описания и языковой модели, умеющей писать код. Это меняет уравнение: раньше между раскрытием и атакой был временной буфер, пока кто-то руками разрабатывал эксплойт. Теперь этого буфера почти нет.
Параллельно идут атаки на WordPress. Два плагина попали под активные кампании с практически одинаковым сценарием — загрузка произвольных файлов, выполнение кода, полный захват сайта. Плагин Ninja Forms – File Upload получил CVE-2026-0740 с оценкой CVSS 9.8. Плагин Breeze Cache — CVE-2026-3844, тоже 9.8. Обе оценки соответствуют критическому уровню, и это цифры: 9.8 означает удалённую эксплуатацию без аутентификации с полным контролем над системой. Для WordPress-экосистемы с её сотнями тысяч сайтов на устаревших плагинах это катастрофический масштаб потенциального ущерба.
Третья кампания — самая масштабная географически. С сентября по ноябрь 2025 года неизвестные атаковали промышленные контроллеры (PLC) с поддержкой протокола Modbus, доступные из интернета. Исследователи из Cato Networks задокументировали атаки на 14 426 уникальных IP-адресов в 70 странах. Среди наиболее пострадавших — США, Франция, Япония, Канада и Индия. Часть атак была геолоцирована на Китай. Методика включала крупномасштабное автоматизированное сканирование, выборочное снятие отпечатков устройств и попытки нарушить работу оборудования или изменить его параметры. Атакующие использовали свежие или ротируемые хосты с нулевой или минимальной публичной репутацией — чтобы не попасть в блеклисты сразу.
Modbus — протокол 1979 года, изначально разработанный для изолированных производственных сетей. В нём нет аутентификации, нет шифрования, нет какой-либо встроенной защиты: предполагалось, что если устройство в сети — оно там по делу и ему можно доверять. Когда такое оборудование оказывается напрямую в интернете, оно становится абсолютно беззащитным. Атакующий может читать и записывать регистры, менять уставки, останавливать процессы. В зависимости от того, что именно контролирует PLC — это может быть водоснабжение, электроснабжение, производственная линия.
Все три кампании объединяет одна логика: автоматизация атак снижает порог входа и увеличивает скорость. Уязвимость в LMDeploy прошла путь от advisory до реальной атаки за половину рабочего дня. Сканирование 14 тысяч промышленных устройств в 70 странах — это не ручная работа и скрипты и ботнеты. WordPress-кампании эксплуатируют плагины с оценкой 9.8 через массовые автоматизированные проверки.
AI-инфраструктура при этом оказывается особенно привлекательной целью по нескольким причинам. Во-первых, она часто разворачивается быстро, иногда силами команд, которые глубже понимают ML-пайплайны, чем сетевую безопасность. Во-вторых, inference-серверы нередко имеют доступ к облачным учётным данным — чтобы подгружать модели из хранилищ. В-третьих, такие инструменты, как LMDeploy, обрабатывают внешние данные по своей природе: изображения, URL, файлы — всё это потенциальные векторы атаки, если валидация сделана небрежно.
Функция
load_image() в LMDeploy, вероятно, писалась как утилита для удобства: передай URL — получи изображение для обработки моделью. Никто не предполагал, что этот URL будет вести на 169.254.169.254 или на Redis без пароля. Но именно так и работает большинство реальных уязвимостей — не через экзотические баги, а через функциональность, которая делает ровно то, для чего написана, просто в контексте, который разработчик не предусмотрел.
