Критична вразливість у LMDeploy — відкритому інструменті для запуску великих мовних моделей, розробленому Shanghai AI Laboratory, — була проексплуатована зловмисниками менш ніж за 13 годин після публічного оприлюднення. Вразливість отримала ідентифікатор CVE-2026-33626 з рівнем серйозності CVSS 7.5. Технічна суть: функція load_image() у модулі обробки зображень не перевіряла, чи ведуть запитувані URL на внутрішні або приватні IP-адреси. Це тип атаки SSRF – підробка запитів на стороні сервера: зловмисник змушує сервер сам зробити запит до ресурсів, до яких він не мав би мати доступу.

Компанія Sysdig розгорнула ідентичну вразливу копію LMDeploy одразу після виходу в адвізорі. Перший зафіксований експлойт надійшов через 12 годин і 31 хвилину після публікації на GitHub. Протягом восьмихвилинної сесії зловмисник не просто підтвердив наявність вразливості, а здійснив повноцінне сканування внутрішньої мережі: перевірив доступність AWS Instance Metadata Service, Redis, MySQL, адміністративного HTTP-інтерфейсу та OOB DNS-ендпоінту. Усього зловмисник надіслав понад 10 запитів у три фази, перемикаючись між різними AI-моделями, очевидно, щоб не викликати підозр. Вразливість зачіпає всі версії LMDeploy до 0.12.3, де вона вже усунена. Публічного PoC-коду на момент атаки не існувало — зловмисник створив exploit самостійно, спираючись виключно на текст в адвізорі.