公告 ID：2026-031-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 5 月 14 日下午 12:45 (太平洋夏令時間)
 

描述：

Amazon SageMaker Python SDK 是開放原始碼程式庫，可用於在 Amazon SageMaker 上訓練與部署機器學習模型。ModelBuilder 元件可自動準備模型成品並建立 SageMaker 模型，藉此簡化模型部署作業。

我們發現 2 個會影響 ModelBuilder/Serve 元件模型成品完整性驗證機制的問題：

• CVE-2026-8596：我們發現 ModelBuilder/Serve 元件存在敏感資訊明文儲存的問題。使用 ModelBuilder 建置模型時，SDK 會將 HMAC 簽署金鑰儲存為容器環境變數 (SAGEMAKER_SERVE_SECRET_KEY)。而 SageMaker describe API (DescribeModel、DescribeEndpointConfig、DescribeModelPackage) 會以明文傳回此金鑰。若遠端已驗證攻擊者具備呼叫這些 API 的許可，且擁有模型成品路徑的 S3 寫入存取權，即可擷取該金鑰、替特製的模型成品偽造有效的完整性簽章，進而在推論容器中執行程式碼。
  
  
• CVE-2026-8597：我們發現 Triton 推論處理常式缺少完整性驗證的問題。Triton 處理常式在執行前，未驗證模型成品的完整性即將其反序列化。若遠端已驗證執行者擁有模型成品路徑的 S3 寫入存取權，即可將模型成品替換為特製的 pickle 承載；該酬載會在未經驗證的情況下反序列化，進而在推論容器中執行程式碼。

受影響版本：Amazon SageMaker Python SDK >= v2.199.0 AND <= v2.257.1, >= v3.0.0 AND <= v3.7.1

解決方案：

這些問題已於 Amazon SageMaker Python SDK v2.257.2 與 v3.8.0 中解決。建議您升級至最新版本，並使用更新後的 SDK 重建先前透過 ModelBuilder 建立的所有模型。使用受影響版本建立的模型，在透過已修補的 SDK 重建之前，可能仍會將 HMAC 金鑰儲存於其容器環境變數中。

變通方法：

若無法立即升級，使用者可在不包含此變數的容器環境組態中重新建立模型，藉此手動從現有 SageMaker 模型中移除 SAGEMAKER_SERVE_SECRET_KEY 環境變數。此外，使用者應將模型成品路徑的 S3 寫入存取權，嚴格限制為僅供受信任的主體使用。

參考資料：

• CVE-2026-8596
• CVE-2026-8597
• GHSA-7hh5-prp2-mfh5
• GHSA-rq6v-x3j8-7qgf

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。