公告 ID：2026-031-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 14 日下午 12:45（太平洋夏令时）
 

描述：

Amazon SageMaker Python SDK 是一个开源库，可用于在 Amazon SageMaker 上训练和部署机器学习模型。ModelBuilder 组件通过自动准备模型构件和创建 SageMaker 模型，从而简化模型部署。

我们发现了两个影响 ModelBuilder/Serve 组件中模型构件完整性验证机制的问题：

• CVE-2026-8596：我们在 ModelBuilder/Serve 组件中发现了敏感信息的明文存储问题。使用 ModelBuilder 构建模型时，SDK 将 HMAC 签名密钥存储为容器环境变量（SAGEMAKER_SERVE_SECRET_KEY）。此密钥由 SageMaker 描述 API（DescribeModel、DescribeEndpointConfig、DescribeModelPackage）以明文形式返回。经过身份验证的远程行为者如果有这些 API 的调用权限和模型构件路径的 S3 写入访问权限，就可以提取密钥，为特制的模型构件伪造有效的完整性签名，并在推理容器中实现代码执行。
  
  
• CVE-2026-8597：我们在 Triton 推理处理程序中发现了一个缺失完整性验证问题。Triton 处理程序在执行前未进行完整性校验就直接对模型构件进行反序列化。经过身份验证的远程行为者如果有模型构件路径的 S3 写入访问权限，就可以将模型构件替换为特制的 pickle 有效载荷，该有效载荷无需验证即可反序列化，从而在推理容器中实现代码执行。

受影响的版本：Amazon SageMaker Python SDK >= v2.199.0 和 <= v2.257.1，>= v3.0.0 和 <= v3.7.1

解决方法：

这些问题已在 Amazon SageMaker Python SDK v2.257.2 和 v3.8.0 中得到解决。我们建议升级到最新版本，并使用更新后的 SDK 重建之前使用 ModelBuilder 创建的任何模型。使用受影响版本创建的模型可能仍将 HMAC 密钥存储在其容器环境变量中，直到使用已修补的 SDK 进行重建为止。

临时措施：

如果无法立即升级，用户可以通过在容器环境配置中重新创建没有该变量的模型，从现有 SageMaker 模型中手动移除 SAGEMAKER_SERVE_SECRET_KEY 环境变量。此外，用户应限制模型构件路径的 S3 写入访问权限，仅将其开放给受信任的主体。

参考：

• CVE-2026-8596
• CVE-2026-8597
• GHSA-7hh5-prp2-mfh5
• GHSA-rq6v-x3j8-7qgf

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。