NVIDIA于12月9日发布安全公告，针对开源机器学习框架Merlin中的NVTabular与Transformers4Rec，披露其中存在两项高危安全漏洞。Merlin是NVIDIA为推荐系统开发的应用框架，常用于构建大规模数据推荐与个性化服务。

根据公告内容，CVE-2025-33214影响NVTabular的Workflow组件，CVE-2025-33213存在于Transformers4Rec的Trainer组件。两项漏洞均源于反序列化处理缺乏有效验证，属于CWE-502不信任数据反序列化（Deserialization of Untrusted Data）弱点。

在CVSS v3.1评估中，这两项漏洞的基线评分均为8.8，属于高危等级。NVIDIA指出，漏洞攻击向量为网络型，攻击复杂度低，且无需事先身份验证，但需用户交互即可触发。成功利用后，攻击者可能在Linux系统上执行任意代码，导致拒绝服务、信息泄露或数据篡改。

由于Merlin常被部署于推荐引擎、个性化系统与AI分析平台，一旦相关服务对外暴露或处理不可信数据，将扩大攻击面，对运行环境与数据安全构成威胁。

NVIDIA已在官方GitHub仓库提供修复版本，NVTabular需更新至包含commit 5dd11f4的版本，Transformers4Rec则需升级至包含commit 876f19e的版本。官方强调，所有早于上述提交的版本均存在风险，建议用户尽快完成更新。

这些漏洞由安全研究人员blazingwind报告，并已获得NVIDIA产品安全事件响应团队确认。