NVIDIA官方近期发布安全公告，确认其CUDA Toolkit中存在四个严重安全漏洞。这些漏洞涉及操作系统命令注入、任意代码执行以及拒绝服务攻击等高风险问题，对Windows和Linux全平台均构成影响。

此次披露的漏洞主要集中在CUDA Toolkit附带的性能分析与调试工具中，包括NVIDIA Nsight Systems、Nsight Visual Studio Edition、nvdisasm/cuobjdump以及nvJPEG图像处理库。这些工具通常具有较高的运行权限，且默认信任输入数据，一旦输入校验不足，便可能被恶意利用。

具体而言，漏洞可分为两类高风险类型。一是OS命令注入漏洞，存在于Nsight Systems部分组件，由于未对用户提供的路径或参数进行充分校验，攻击者可构造恶意输入直接触发系统命令执行，在Linux环境下甚至可能以root权限运行。二是任意代码执行漏洞，尤其影响Windows版Nsight，存在DLL搜索路径问题，攻击者通过放置恶意DLL即可在程序启动时自动加载，无需复杂利用技巧。

此外，在nvdisasm、cuobjdump和nvJPEG工具中还发现了域外内存访问漏洞。攻击者通过提供特制的ELF文件或畸形JPEG图像，可能触发内存越界读取或写入，导致程序崩溃、GPU任务中断或服务不可用。在AI训练、推理及科研计算场景中，此类崩溃可能导致数日算力损失。

NVIDIA明确表示，CUDA Toolkit 13.1之前的所有版本均受影响，涵盖个人开发环境、研究机构及数据中心。官方未提供临时规避方案，唯一解决方式是升级至修复后的CUDA Toolkit 13.1版本。此次安全事件提醒开发者与运维人员，即使本地运行的工具也可能存在攻击面，高权限工具的安全假设需格外谨慎。