1. ShadowRay 是在干什么？

一句话概括：
ShadowRay 利用云环境中 共享 GPU 的“旧任务内存残留”，从别人的 AI 任务里把数据和模型“捞出来”（信息泄露），并进一步用这些泄露信息做更深层攻击。

它不是传统的“后门训练模型”，而是典型的 AI 推理阶段 / 训练阶段的侧信道 + 内存残留攻击，目标是云上的 AI 工作负载（多租户 GPU 场景）。

2. 攻击大致流程

按照 Oligo 的文章（以及它们的技术博客）描述，ShadowRay 的核心步骤可以拆成 4 个环节：

2.1 前提：多租户 GPU / 共享加速环境

• 典型场景：
  • 云厂商、MLOps 平台、K8s 集群里，一个 GPU 被多个租户/容器/Pod 顺序复用；
  • 例如：
    • A 用户用 GPU 跑完一个大模型后任务结束；
    • B 用户紧接着在同一块 GPU 上启动任务。
• 正常预期：
  • A 的模型参数、输入数据、激活值、梯度等中间状态，在任务结束后应从 GPU/主机内存“干净清除”；
• 现实问题：
  • 实际上很多运行时 / 驱动 / 框架 没有彻底清零这些内存区域；
  • B 启动的任务有机会通过 API / 底层调用 重新映射、读到 A 的残留内存内容。

2.2 ShadowRay 如何“看到”别人的数据？

核心点：内存再利用（memory reuse）+ 未清零（no zeroing）。

ShadowRay 利用：

1. GPU / CPU 内存管理缺陷
   • 当任务结束后，内存块被标记为“可用”但实际上数据还在；
   • 后续任务申请类似大小的 buffer 时，系统直接把这块“脏内存”再次分配出去，而没清零。
2. AI 框架行为
   • 深度学习框架（如 PyTorch、TensorFlow）使用自己的内存池 / 缓存机制；
   • 在同一进程或相同 runtime 中，之前任务留下的 Tensors、activations 可能被重新包装成新的 Tensor 对象。

攻击者做的事是：

• 在自己的任务中不断：
  • 分配大块 GPU/CPU 内存；
  • 读取其中的原始字节；
  • 通过模式识别 / 结构解析，从中还原出前一个任务的模型权重、输入样本、梯度等。

2.3 恢复出什么信息？

根据 Oligo 给出的案例，攻击者可以从残留内存中推断出：

• 模型相关
  • 神经网络权重（尤其是全连接层权重、卷积核参数）；
  • 模型结构信息（通过权重形状推断层结构）；
• 数据相关
  • 训练样本 / 推理输入（图像像素、文本 token IDs 等）；
  • 部分敏感字段（如人脸、医疗图像、聊天内容）；
• 中间状态
  • 激活值（activations）；
  • 梯度（gradients），可以进一步进行模型反演或属性推断。

这些信息可以被用来：

• 盗取专有模型（模型窃取 / model exfiltration）；
• 还原用户隐私数据（数据重建攻击）；
• 为后续的模型后门注入、对抗样本生成等提供精准情报。

2.4 ShadowRay 为何叫 “actively exploited in the wild”

Oligo 声称他们已经在实际云环境中观测到：

• 有恶意容器 / 工作负载刻意利用这些内存残留；
• 批量扫别人的 AI 作业，提取模型和数据；
• 说明这不再是纯 PoC，而是已经出现“野外利用”。

Ultralytics YOLO AI 模型在供应链攻击中遭到入侵

威胁描述（精简版）

威胁行为者通过供应链攻击入侵了 Ultralytics YOLO11 模型的多个版本，在该公司最新版本的人工智能软件中偷偷植入并运行 XMRig 加密货币挖矿程序。

事件经过（结构化）

1. 入侵发现

   • 周四，一位开发者在 GitHub 论坛警告：
     Ultralytics YOLO 8.3.41 版本的 PyPI 软件包已被入侵，安装该版本会在用户不知情的情况下运行 XMRig 加密货币挖矿软件。
   • Ultralytics 是一家位于马里兰州的软件公司，YOLO 是其图像识别与目标检测 AI 模型。

2. 社区反馈与初步应对

   • 多位开发者在 GitHub 讨论中证实：8.3.41 版本被入侵，并建议移除该 PyPI 包。
   • Ultralytics 虽未立即发布官方安全公告，但似乎已经暂停自动部署流程，以调查此次供应链攻击。

3. 异常行为与溯源线索

   • 发帖人 “metrizable” 在对比 Ultralytics 的 PyPI 包与 GitHub 代码库时发现代码被篡改。
   • 其他开发者也在 GitHub 其他帖子中报告可疑活动：例如 Google Colab 阻止对运行 YOLO 的系统的访问。

4. 官方确认被入侵版本

   • 与 Ultralytics 有关联的开发者 “Skillnoob”：
     • 敦促用户卸载 8.3.41 版本；
     • 证实该 PyPI 包已被入侵。
   • 随后又确认：8.3.42 版本同样受到了加密货币挖矿活动的影响。
   • 截至周四，PyPI 已移除 8.3.41 和 8.3.42 版本，8.3.40 及更早版本被认为是安全的。

5. Ultralytics 官方说明

   • 创始人兼 CEO Glenn Jocher 在 GitHub 讨论中表示：
     • PyPI 部署工作流本身疑似被注入恶意代码，影响了 8.3.41 和 8.3.42 版本；
     • 公司已停止自动部署，正在调查此次供应链攻击；
     • 已追踪到恶意活动源自 香港的一名 GitHub 用户，该账户已被封禁。
   • Jocher 表示问题已在 YOLO 8.3.43 中修复。
   • Ultralytics 随后发布 8.3.44 版本，但未在发布说明中提及此次供应链攻击或早前被入侵的版本。

6. 未解问题

   • 目前尚不清楚攻击者具体是如何入侵 Ultralytics 的供应链并成功篡改多个版本的 YOLO 模型。
   • 截至发稿，Ultralytics 尚未发布正式公开声明，也未回应外部置评请求。

安全背景与相关案例

Ultralytics 事件是 2024–2025 年间众多软件供应链安全事件中的一例，类似案例包括：

• 2024 年 3 月：
  攻击者利用伪造的 Python 基础设施与窃取的会话 Cookie，入侵 Top.gg 的多个 GitHub 代码库。
• 2024 年 10 月：
  攻击者入侵热门 JavaScript 库 Lottie Player 的 NPM 软件包，试图窃取用户加密货币。