Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
Суть уязвимости CVE-2025-32434
Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
View the full article
День добрый.
При запуске ноута, сразу после экрана выхода на BIOS, черный экран на котором следующий текст:
«Загрузчик возобновления Windows:
Последняя попытка возобновления работы системы из прежнего места была неудачна.
Попытаться возобновить работу системы еще раз (сделайте выбор, используя клавиши со стрелками)
— Возобновить работу системы
— Удалить данные восстановления и перейти в меню загрузки»
Сразу же выделен второй вариант и на этом всё — стрелки не работают, ввод не работает, времени, типа «через 30 сек будет выбран такой-то пункт» — тоже нет.
Помогает только сделать выкл-вкл ноуту.
Попытался через F12 на экране выхода на BIOS зайти в Boot Menu и зашел, но и здесь ни стрелки, ни ввод. ни функциональные клавиши не работают.
Такая же история и самим BIOS — в него вхожу спокойно (через F2) и все ни клавиши F, ни стрелки не работаю.
При этом я точно знаю, что сама клава работает нормально — например, в BIOS я спокойно могу отключить экран через комбинацию клавиш Fn+F2, точно так же могу увеличить/уменьшить яркость экрана (Fn + стрелка вверх/вниз).
Аккумулятор вынимал, т. е. холодная перезагрузка ситуации не меняет.
А какие манипуляции еще можно провести и не знаю.
Читал, что можно BIOS переустановить из DOS, но как это сделать в данном случае — не представляю.
Там же видел, что кто-то писал, что можно попытаться BIOS сбросить, но я не знаю как это сделать.
Я бы и просто переустановил бы систему (все важные файлы есть в резервной копии), но я даже в Boot Priority пошаманить не могу.
Подскажите, пожалуйста, может кто сталкивался с такой проблемой и как её решили или может кто-то обладает какой-то полезной информацией по этому вопросу или может какой-то компьютерный гуру знает в чем причина этого трабла и знает как его разрешить — буду очень признателен за любую помощь.
Заранее благодарен!
Контактные данные для Роскомнадзора и государственных органов
Сетевое издание «НГС.НОВОСТИ» (18+)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77—84683
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Малкова Марина Андреевна
Адрес редакции: 630099, Россия, Новосибирск, ул. Ленина, д. 12, 6 этаж, телефон 8 (383) 212-52-52, 8 (923) 157-00-00 (круглосуточно)
Электронный адрес редакции: ngs@shkulev.ru
Контактные данные для Роскомнадзора и государственных органов: juristnsk@shkulev.ru
Техподдержка: help@shkulev.ru, 8 (800) 200-03-83 (доб.3)
Как использовать OAuth2 со Spring Security в Java
Javaican 14.05.2025
Протокол OAuth2 часто путают с механизмами аутентификации, хотя по сути это протокол авторизации. Представьте, что вместо передачи ключей от всего дома вашему другу, который пришёл полить цветы, вы. . .
Анализ текста на Python с NLTK и Spacy
AI_Generated 14.05.2025
NLTK, старожил в мире обработки естественного языка на Python, содержит богатейшую коллекцию алгоритмов и готовых моделей. Эта библиотека отлично подходит для образовательных целей и. . .
Реализация DI в PHP
Jason-Webb 13.05.2025
Когда я начинал писать свой первый крупный PHP-проект, моя архитектура напоминала запутаный клубок спагетти. Классы создавали другие классы внутри себя, зависимости жостко прописывались в коде, а о. . .
Обработка изображений в реальном времени на C# с OpenCV
stackOverflow 13.05.2025
Объединение библиотеки компьютерного зрения OpenCV с современным языком программирования C# создаёт симбиоз, который открывает доступ к впечатляющему набору возможностей. Ключевое преимущество этого. . .
POCO, ACE, Loki и другие продвинутые C++ библиотеки
NullReferenced 13.05.2025
В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .
Паттерны проектирования GoF на C#
UnmanagedCoder 13.05.2025
Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .
Создаем CLI приложение на Python с Prompt Toolkit
py-thonny 13.05.2025
Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .
Конвейеры ETL с Apache Airflow и Python
AI_Generated 13.05.2025
ETL-конвейеры – это набор процессов, отвечающих за извлечение данных из различных источников (Extract), их преобразование в нужный формат (Transform) и загрузку в целевое хранилище (Load). . . .
Выполнение асинхронных задач в Python с asyncio
py-thonny 12.05.2025
Современный мир программирования похож на оживлённый мегаполис – тысячи процессов одновременно требуют внимания, ресурсов и времени. В этих джунглях операций возникают ситуации, когда программа. . .
Работа с gRPC сервисами на C#
UnmanagedCoder 12.05.2025
gRPC (Google Remote Procedure Call) — открытый высокопроизводительный RPC-фреймворк, изначально разработанный компанией Google. Он отличается от традиционых REST-сервисов как минимум тем, что. . .