安全公司Antiproof披露开源AI推理框架SGLang存在三项高风险漏洞，可能允许未经身份验证的攻击者在运行SGLang的服务器上远程执行代码，或将文件写入服务器进程有权限访问的位置。美国计算机紧急响应小组协调中心（CERT/CC）已发布漏洞通报，将此事件列为两项远程代码执行漏洞和一项路径遍历漏洞，并建议用户在补丁发布前限制相关服务接口的访问。

SGLang是一套用于部署和提供大型语言模型、多模态AI模型服务的开源框架，可让企业或开发者将模型以API形式供应用程序调用。此次披露的漏洞编号为CVE-2026-7301、CVE-2026-7302与CVE-2026-7304，Antiproof评估三项漏洞的严重性评分分别为9.8、9.1和9.8。受影响版本包括SGLang v0.5.5及后续版本，CVE-2026-7304影响v0.4.1.post7及后续版本。

CVE-2026-7301存在于SGLang处理多模态生成任务的调度通信机制中。研究人员指出，当启用相关多模态执行模式，且调度通信端口可被外部访问时，攻击者可发送恶意数据，导致服务器在解析数据时执行攻击者指定的指令。该漏洞的严重程度与实际部署方式相关，若通信端口对不可信网络开放，则攻击面将显著扩大。

CVE-2026-7302涉及文件上传处理逻辑。SGLang提供兼容OpenAI接口的图像与视频处理功能，会接收用户上传的文件。研究人员发现，相关代码未对用户提供的文件名进行充分校验，攻击者可通过构造特殊文件名跳出默认上传目录，将文件写入服务器进程可访问的任意位置。

另一项漏洞CVE-2026-7304出现在自定义Logit处理器（Custom Logit Processor）功能中。该功能允许用户在模型生成文本时注入自定义逻辑，调整候选词的输出分数。研究人员解释，若SGLang启用了该功能，攻击者可通过生成请求注入恶意序列化数据，使服务器在反序列化时执行任意代码。由于该功能默认未启用，主要风险集中在已根据特定模型服务需求手动开启该参数的部署环境。

研究人员已将上述漏洞通报给SGLang维护团队，并与CERT/CC协同披露。截至CERT/CC于2026年5月18日发布通报时，官方尚未提供补丁，也未回应协调请求。CERT/CC建议用户避免将SGLang服务暴露于不可信网络环境中，应通过网络隔离、访问控制和防火墙规则，仅允许受信任的系统连接相关服务接口。