研究人员Ji’an Zhou在深度学习框架PyTorch发现重大层级的漏洞CVE-2025-32434,指出该框架在使用名为torch.load的功能,并搭配weights_only=True的功能参数载入模型的过程里,他能够突破安全防护机制并远端执行任意程式码(RCE),由于PyTorch广泛受到产业及学术界采用,是主流的深度学习框架,不仅是深度学习技术标准化的重要推手,也是OpenAI、Meta等公司采用、作为生成式AI的主要开发平台,一旦出现资安漏洞,将会带来相当广泛且深远的影响。
如前所述,CVE-2025-32434的问题,在于特定功能的使用方式可能产生资安风险。Ji’an Zhou指出,照理来说,torch.load是底层资料载入工具,而weights_only=True是高阶模型载入API的配置,通常不会一起使用,PyTorch的正式文件却提及,开发者应同时使用两者来降低相关资安风险,然而,这么做,反而产生问题。