AI框架漏洞致企业云环境面临接管风险

网络威胁暴露初创公司Zafran发现，流行开源AI框架Chainlit存在两个"易于利用"的漏洞，使大型企业的云环境面临数据泄露甚至完全接管的风险。

Chainlit是一个Python包，组织可以使用它构建生产就绪的AI聊天机器人和应用程序。企业可以使用Chainlit的内置UI和后端，也可以在Chainlit后端基础上创建自己的前端。该框架还与LangChain、OpenAI、Bedrock和LlamaIndex等其他工具和平台集成，支持身份验证和云部署选项。

Chainlit每月下载量约70万次，去年下载量达到500万次。

发现的两个漏洞

两个漏洞分别是CVE-2026-22218（允许任意文件读取）和CVE-2026-22219（可能导致托管AI应用程序的服务器遭受服务器端请求伪造SSRF攻击）。

虽然Zafran没有发现野外利用的迹象，但该公司首席技术官Ben Seri告诉记者："我们观察到的面向互联网的应用程序属于金融服务和能源行业，大学也在使用这个框架。"

Zafran在11月向项目维护者披露了这些漏洞，一个月后，Chainlit发布了修复这些缺陷的补丁版本（2.9.4）。因此，如果您使用Chainlit，请确保将框架更新到修复版本。

任意文件读取漏洞

任意文件读取缺陷CVE-2026-22218与框架处理元素的方式有关，这些元素是可以附加到消息的内容片段，如文件或图像。可以通过发送带有篡改自定义元素的恶意更新元素请求来触发，并通过读取/proc/self/environ来滥用以窃取环境变量。

根据Zafran的分析，"这些变量通常包含系统和企业依赖的高度敏感值，包括API密钥、凭证、内部文件路径、内部IP和端口。这在AI系统中尤其危险，因为服务器可以访问公司的内部数据，为用户提供定制的聊天机器人体验。"

在启用身份验证的环境中，攻击者可以窃取用于签署身份验证令牌的密钥（CHAINLIT_AUTH_SECRET）。这些密钥与从数据库泄露或从组织电子邮件推断的用户标识符结合使用时，可以被滥用来伪造身份验证令牌并完全接管用户的Chainlit账户。

其他可能被获取的环境变量包括Chainlit云存储所需的云凭证（如AWS_SECRET_KEY），以及敏感的API密钥或内部服务的地址和名称。

此外，攻击者可以使用第二个SSRF漏洞探测这些地址，从内部REST API访问敏感数据。

服务器端请求伪造漏洞

Zafran在SQLAlchemy数据层中发现了SSRF漏洞CVE-2026-22219。这个漏洞的触发方式与任意文件读取相同，通过篡改的自定义元素。然后，攻击者可以通过从元数据中提取元素的"chainlit key"属性来检索复制的文件，将文件下载到攻击者控制的计算机上，并查询文件以访问对话历史记录。

据Seri表示，这些漏洞"容易利用"，可以通过多种方式结合使用，泄露敏感数据、提升权限并在系统内横向移动。

"攻击者只需要发送一个简单的命令并更改一个值，指向他们想要访问的文件或URL，"他说。

"关于漏洞如何结合使用，SSRF通常需要了解服务器环境，"Seri补充道。"通过利用读取文件漏洞泄露这些信息，如环境详情或内部地址，成功执行SSRF攻击变得更加容易。"

企业风险增加

企业越来越多地使用AI框架构建自己的AI聊天机器人和应用程序。Seri承认，组织正在"非常紧张的时间表下工作，以交付与高度敏感数据集成的全功能AI系统"。

使用第三方框架和开源代码使开发团队能够快速行动，但也为环境引入了新的风险。

"风险不是使用第三方代码本身，而是快速集成、对添加代码的有限理解以及对外部维护者进行安全和代码质量保证的依赖的结合，"Seri说。"结果，组织最终部署了与客户端、云资源和大语言模型通信的后端服务器，创造了多个入口点，漏洞可能出现并使系统面临风险。"

Q&A

Q1：Chainlit是什么框架？有什么功能？

A：Chainlit是一个Python包，组织可以使用它构建生产就绪的AI聊天机器人和应用程序。企业可以使用其内置UI和后端，也可以创建自己的前端。它还与LangChain、OpenAI、Bedrock等平台集成，支持身份验证和云部署，每月下载量约70万次。

Q2：Chainlit发现的两个漏洞有什么危害？

A：两个漏洞分别是CVE-2026-22218（任意文件读取）和CVE-2026-22219（服务器端请求伪造）。攻击者可以窃取环境变量中的API密钥、凭证等敏感信息，甚至完全接管用户账户。这些漏洞容易利用，只需发送简单命令并更改一个值即可。

Q3：如何防范Chainlit框架的安全漏洞？

A：用户应立即将Chainlit框架更新到修复版本2.9.4。Chainlit已在去年12月发布了修复这些缺陷的补丁版本。此外，组织在使用第三方框架时应加强对添加代码的理解，不要仅依赖外部维护者的安全保证。