【安全资讯】NVIDIA Riva漏洞使AI语音和翻译服务面临风险

概要：

近期，Trend Micro Research发现多个组织在云环境中部署的NVIDIA Riva API端点存在暴露现象，这些端点在没有身份验证的情况下运行，可能使其易受威胁行为者的攻击。研究人员识别出两个漏洞（CVE-2025-23242和CVE-2025-23243），这些漏洞导致了安全暴露，给企业带来了数据泄露和服务中断的风险。

主要内容：

NVIDIA Riva作为一款先进的AI语音识别和翻译工具，虽然为企业提供了高性能的模型集成，但其部署过程中的复杂性也带来了新的安全挑战。Trend Micro的研究显示，多个云服务提供商的54个独特IP地址上存在未授权访问的Riva服务，这些服务在没有适当的身份验证保护下运行，允许任何人免费使用其资源。

暴露的API不仅可能导致数据泄露，还可能引发拒绝服务（DoS）攻击，特别是在使用高级配置的Triton Inference Server时，攻击者可以利用这些漏洞进行内存攻击。研究人员强调，尽管NVIDIA已通过负责任的披露流程修复了这些漏洞，但企业仍需对其部署进行全面审查，确保没有使用默认或错误配置的设置。

为了降低风险，建议Riva服务管理员实施安全API网关，限制仅暴露必要的API端点，并应用网络分段以限制对Riva和Triton Inference Server的访问。此外，强烈建议实施基于角色的访问控制和零信任策略，以确保只有经过身份验证的用户才能访问Riva服务。通过这些措施，企业可以有效降低潜在的安全风险，保护其知识产权和用户数据。