Две «легко эксплуатируемые» уязвимости в популярном фреймворке с открытым исходным кодом для искусственного интеллекта Chainlit поставили облачные среды крупных предприятий под угрозу утечки данных или даже полного захвата контроля, как сообщает стартап по исследованию киберугроз Zafran.
Chainlit — это пакет Python, который организации могут использовать для создания готовых к промышленному внедрению чат-ботов и приложений на базе ИИ. Корпорации могут использовать встроенный пользовательский интерфейс и бэкенд Chainlit или создавать собственный фронтенд поверх бэкенда Chainlit. Он также интегрируется с другими инструментами и платформами, включая LangChain, OpenAI, Bedrock и LlamaIndex, и поддерживает аутентификацию и опции облачного развертывания.
Его загружают около 700 000 раз ежемесячно, а в прошлом году он насчитал 5 миллионов загрузок.
Две уязвимости — это CVE-2026-22218, позволяющая произвольное чтение файлов, и CVE-2026-22219, которая может привести к атакам типа «подделка запроса на стороне сервера» (SSRF) на серверах, где размещены приложения ИИ.
Хотя Zafran не обнаружил признаков эксплуатации в реальных условиях, «интернет-приложения, которые мы наблюдали, принадлежали секторам финансовых услуг и энергетики, а также данный фреймворк используют университеты», — сообщил технический директор Бен Сери изданию The Register.
Zafran уведомил разработчиков проекта об этих ошибках в ноябре, а месяц спустя Chainlit выпустил пропатченную версию (2.9.4), устраняющую уязвимости. Поэтому, если вы используете Chainlit, обязательно обновите фреймворк до исправленного релиза.
Произвольное чтение файлов
Уязвимость произвольного чтения файлов, CVE-2026-22218, связана с тем, как фреймворк обрабатывает элементы — это части контента, такие как файл или изображение, которые могут быть прикреплены к сообщению. Она может быть активирована путем отправки вредоносного запроса на обновление элемента с измененным пользовательским элементом и использована злоумышленниками для эксфильтрации переменных среды путем чтения /proc/self/environ.
«Эти переменные часто содержат крайне конфиденциальные значения, от которых зависят система и предприятие, включая ключи API, учетные данные, внутренние пути к файлам, внутренние IP-адреса и порты», — говорится в анализе Zafran, предоставленном The Register перед публикацией. «Это наиболее опасно в системах ИИ, где серверы имеют доступ к внутренним данным компании для предоставления персонализированного опыта чат-бота своим пользователям».
В средах, где включена аутентификация, злоумышленники могут украсть секреты, используемые для подписи токенов аутентификации (CHAINLIT_AUTH_SECRET). Эти секреты, в сочетании с идентификаторами пользователей — украденными из баз данных или выведенными из корпоративных электронных писем — могут быть использованы для подделки токенов аутентификации и полного захвата учетных записей пользователей Chainlit.
Среди других доступных переменных среды могут быть облачные учетные данные — такие как AWS_SECRET_KEY — которые требуются Chainlit для облачного хранения, наряду с конфиденциальными ключами API или адресами и именами внутренних служб.
Кроме того, злоумышленник может проверить эти адреса с помощью второй уязвимости SSRF для доступа к конфиденциальным данным из внутренних REST API.
Подделка запроса на стороне сервера
Zafran обнаружил уязвимость SSRF, CVE-2026-22219, в уровне данных SQLAlchemy. Она активируется тем же способом, что и произвольное чтение файлов — через измененный пользовательский элемент. Затем злоумышленник может извлечь скопированный файл, получив доступ к свойству «chainlit key» элемента из метаданных, загрузить файл на компьютер, контролируемый злоумышленником, и запросить файл для доступа к истории разговоров.
По словам Сери, уязвимости «легко эксплуатировать», и их можно комбинировать различными способами для утечки конфиденциальных данных, повышения привилегий и горизонтального перемещения в системе.
«Злоумышленнику нужно всего лишь отправить простую команду и изменить одно значение, чтобы указать на файл или URL, к которому он хочет получить доступ», — сказал он.
«Что касается того, как можно комбинировать уязвимости, SSRF обычно требует знания серверной среды», — добавил Сери. «Используя уязвимость чтения файлов для утечки этой информации, такой как детали среды или внутренние адреса, становится намного проще успешно провести атаку SSRF».
Компании все чаще используют фреймворки ИИ для создания собственных чат-ботов и приложений, и Сери признает, что организации «работают в очень сжатые сроки, чтобы предоставить полностью функциональные системы ИИ, интегрированные с высококонфиденциальными данными».
Использование сторонних фреймворков и кода с открытым исходным кодом позволяет командам разработчиков двигаться быстро — и это создает новые риски для среды.
«Риск заключается не в самом использовании стороннего кода, а в сочетании быстрой интеграции, ограниченного понимания добавленного кода и зависимости от внешних сопровождающих в вопросах безопасности и качества кода», — сказал Сери. «В результате организации развертывают серверные компоненты, которые взаимодействуют с клиентами, облачными ресурсами и LLM, создавая множество точек входа, где могут возникнуть уязвимости и поставить систему под угрозу». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
