2025年大模型供应链安全的熵增效应：风险挖掘与熵减策略报告

大 模 型 供 应 链 安 全 的 熵 增 效 应 ：风 险 挖 掘 与 熵 减 策 略About usvivo 大模型安全工程师，专注于大模型安全研究，涵盖模型框架层安全、AI 产品安全等方向。曾发现多个 NVIDIA、LLaMA-Factory 等主流厂商大模型产品中的安全漏洞，并获得官方致谢。联系方式：rongyu@vivo.com戎誉vivo 大模型安全工程师，主要从事大模型基础设施和大模型产品的攻防研究，发现过多个 NVIDIA 等厂商大模型产品的安全漏洞并获得厂商致谢。联系方式：fanhao@vivo.com凡浩目录01 引子：从“熵”谈起02 熵增效应： 供应链失控点与风险实证03 熵减策略：模型供应链风险的控制与治理04 未来展望：低熵模型生态目录01 引子：从“熵”谈起02 熵增效应： 供应链失控点与风险实证03 熵减策略：模型供应链风险的控制与治理04 未来展望：低熵模型生态安全领域中的“熵”是什么？熵的起源：热力学 → 信息论安全语境中的熵：系统复杂度与不确定性综合指数熵增效应：组件增加 → 攻击面扩大 → 风险上升大模型放大效应：参数膨胀 + 外部依赖 + 第三方输入 → 高熵系统，失控点分布广安全熵增 = 攻击面扩大 + 不可控性增强安全 = 控熵随着大模型系统复杂度逐渐提升，模型攻击面↑，可控性↓𝑯(𝒙) = − ෍ 𝑷(𝒙) 𝐥𝐨𝐠𝟐 𝑷(𝒙)系统组件/依赖数量熵值（复杂度/不确定性）II. 供应链延伸IV. 黑盒特性I. 规模扩张III. 攻击面扩展传统软件：代码 → 构建 → 部署大模型：数据采集 → 数据处理 → 训练 → 模型分发 → 微调 → 部署 → 推理 → 应用 → ……为什么大模型让系统“熵增”？攻击载荷隐蔽嵌入文件权重文件（.py/.pkl/.mdl/...）Alibaba Qwen3-Max,10,000 DeepSeek-V3.1,6,710 Ernie 3.0 Titan,2,600 Gemini-Ultra,15,600 GPT-2,15 GPT-3,1,750 Grok 1, 3,140LLaMA,6,500 Llama 3.1,4,050 Megatron-Turing NLG,5,300 PaLM,5,400 PanGu-Σ, 10,85002,0004,0006,0008,00010,00012,00014,00016,00018,0002017201820192020202120222023202420252026参数量（亿）熵增大模型系统框架开发者数据提供方第三方插件厂商用户自定义数据贡献者API服务商模型训练方开源社区上游大模型供应链结构解构+风险点下游中游知识库检索数据训练数据训练推理应用依赖模型指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发上游大模型供应链结构解构+风险点下游中游训练推理应用依赖模型指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发知识库检索数据训练数据上游大模型供应链结构解构+风险点下游中游知识库检索数据训练数据训练推理应用指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发依赖模型上游大模型供应链结构解构+风险点下游中游知识库检索数据训练数据训练推理应用依赖模型指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发上游大模型供应链结构解构+风险点下游中游知识库检索数据训练数据训练推理应用依赖模型指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发上游大模型供应链结构解构+风险点下游中游知识库检索数据训练数据训练推理应用依赖模型指令注入DoS沙箱逃逸恶意模型未授权访问SSRFRAG 投毒模型投毒开发包投毒镜像投毒处理阶段数据集投毒采集阶段网页数据投毒数据分发目录01 引子：从“熵”谈起02 熵增效应： 供应链失控点与风险实证03 熵减策略：模型供应链风险的控制与治理04 未来展望：低熵模型生态供应链失控点与风险实证漏洞来源版本号CVE编号漏洞描述Megatron-LM0.12.0CVE-2025-23264find_duplicates.py在处理--load-fingerprints指定的文件时直接使用pickle.load()反序列化且未做验证，运行通过恶意构造的指纹文件触发恶意代码CVE-2025-23265filter_ngrams.py在未对用户提供的字典文件做验证的情况下直接使用pickle.load()反序列化文件，攻击者可借此注入并执行任意代码0.12.1CVE-2025-23305tools组件在读取用户输入的生成token数时对input()的内容直接使用eval()，且未对输入作验证CVE-2025-23306在arguments.py对用户提供的--moe-layer-freq参数，未作校验直接使用eval()解析CVE-2025-23349process_samples_from_single_path()在解析TSV数据集时对未信任的输入直接使用eval()0.12.2CVE-2025-23353对用户提供的model_path使用torch.load()盲目反序列化，恶意模型文件加载时触发RCECVE-2025-23354在process_files()中对用户指定的--paths直接使用torch.load()反序列化未信任的.pt文件ms-swift2.6.1CVE-2025-50472加载.mdl文件时对来自远程仓库或用户的文件直接使用pickle.load()反序列化3.3.1CVE-2025-50460在run.py中对用户YAML配置使用yaml.load()，可被恶意构造的yaml注入并触发恶意代码执行LLaMA-Factory0.9.2CVE-2025-46567llamafy_baichuan2.py脚本对用户指定目录下的.bin文件使用torch.load()盲目反序列化，导致攻击者通过提供恶意.bin（例如放入被克隆/下载的项目或压缩包）在加载时触发RCEverl0.3.0CVE-2025-50461model_merger.py在合并FSDP检查点时对外部.pt文件直接使用torch.load()vivo千镜安全实验室 发现训练环境及训练框架相关漏洞 11 个，并获得CVE，详情如下：RCE训练阶段-训练数据投毒数据采集过程攻击者构造恶意JavaScript代码包装成优质内容网页受害者从网页爬取内容用作训练数据利用js2py执行环境绕过常规安全机制使用爬虫自动抓取未经审查的互联网内容，可能引入恶意载荷。js2py 支持在 js 中导入并使用 python 包，攻击者可以在 js2py 环境中用一个 python 对象找到 subprocess.