/
AI框架漏洞致企业云环境面临接管风险
网络威胁暴露初创公司Zafran发现,流行开源AI框架Chainlit存在两个"易于利用"的漏洞,使大型企业的云环境面临数据泄露甚至完全接管的风险。
Chainlit是一个Python包,组织可以使用它构建生产就绪的AI聊天机器人和应用程序。企业可以使用Chainlit的内置UI和后端,也可以在Chainlit后端基础上创建自己的前端。该框架还与LangChain、OpenAI、Bedrock和LlamaIndex等其他工具和平台集成,支持身份验证和云部署选项。
Chainlit每月下载量约70万次,去年下载量达到500万次。
发现的两个漏洞
两个漏洞分别是CVE-2026-22218(允许任意文件读取)和CVE-2026-22219(可能导致托管AI应用程序的服务器遭受服务器端请求伪造SSRF攻击)。
虽然Zafran没有发现野外利用的迹象,但该公司首席技术官Ben Seri告诉记者:"我们观察到的面向互联网的应用程序属于金融服务和能源行业,大学也在使用这个框架。"
Zafran在11月向项目维护者披露了这些漏洞,一个月后,Chainlit发布了修复这些缺陷的补丁版本(2.9.4)。因此,如果您使用Chainlit,请确保将框架更新到修复版本。
任意文件读取漏洞
任意文件读取缺陷CVE-2026-22218与框架处理元素的方式有关,这些元素是可以附加到消息的内容片段,如文件或图像。可以通过发送带有篡改自定义元素的恶意更新元素请求来触发,并通过读取/proc/self/environ来滥用以窃取环境变量。
根据Zafran的分析,"这些变量通常包含系统和企业依赖的高度敏感值,包括API密钥、凭证、内部文件路径、内部IP和端口。这在AI系统中尤其危险,因为服务器可以访问公司的内部数据,为用户提供定制的聊天机器人体验。"
在启用身份验证的环境中,攻击者可以窃取用于签署身份验证令牌的密钥(CHAINLIT_AUTH_SECRET)。这些密钥与从数据库泄露或从组织电子邮件推断的用户标识符结合使用时,可以被滥用来伪造身份验证令牌并完全接管用户的Chainlit账户。
其他可能被获取的环境变量包括Chainlit云存储所需的云凭证(如AWS_SECRET_KEY),以及敏感的API密钥或内部服务的地址和名称。
此外,攻击者可以使用第二个SSRF漏洞探测这些地址,从内部REST API访问敏感数据。
服务器端请求伪造漏洞
Zafran在SQLAlchemy数据层中发现了SSRF漏洞CVE-2026-22219。这个漏洞的触发方式与任意文件读取相同,通过篡改的自定义元素。然后,攻击者可以通过从元数据中提取元素的"chainlit key"属性来检索复制的文件,将文件下载到攻击者控制的计算机上,并查询文件以访问对话历史记录。
据Seri表示,这些漏洞"容易利用",可以通过多种方式结合使用,泄露敏感数据、提升权限并在系统内横向移动。
"攻击者只需要发送一个简单的命令并更改一个值,指向他们想要访问的文件或URL,"他说。
"关于漏洞如何结合使用,SSRF通常需要了解服务器环境,"Seri补充道。"通过利用读取文件漏洞泄露这些信息,如环境详情或内部地址,成功执行SSRF攻击变得更加容易。"
企业风险增加
企业越来越多地使用AI框架构建自己的AI聊天机器人和应用程序。Seri承认,组织正在"非常紧张的时间表下工作,以交付与高度敏感数据集成的全功能AI系统"。
使用第三方框架和开源代码使开发团队能够快速行动,但也为环境引入了新的风险。
"风险不是使用第三方代码本身,而是快速集成、对添加代码的有限理解以及对外部维护者进行安全和代码质量保证的依赖的结合,"Seri说。"结果,组织最终部署了与客户端、云资源和大语言模型通信的后端服务器,创造了多个入口点,漏洞可能出现并使系统面临风险。"
Q&A
Q1:Chainlit是什么框架?有什么功能?
A:Chainlit是一个Python包,组织可以使用它构建生产就绪的AI聊天机器人和应用程序。企业可以使用其内置UI和后端,也可以创建自己的前端。它还与LangChain、OpenAI、Bedrock等平台集成,支持身份验证和云部署,每月下载量约70万次。
Q2:Chainlit发现的两个漏洞有什么危害?
A:两个漏洞分别是CVE-2026-22218(任意文件读取)和CVE-2026-22219(服务器端请求伪造)。攻击者可以窃取环境变量中的API密钥、凭证等敏感信息,甚至完全接管用户账户。这些漏洞容易利用,只需发送简单命令并更改一个值即可。
Q3:如何防范Chainlit框架的安全漏洞?
A:用户应立即将Chainlit框架更新到修复版本2.9.4。Chainlit已在去年12月发布了修复这些缺陷的补丁版本。此外,组织在使用第三方框架时应加强对添加代码的理解,不要仅依赖外部维护者的安全保证。
0赞好文章,需要你的鼓励
推荐文章
Replit携手RevenueCat,助力“氛围编程“开发者实现应用变现
Replit与RevenueCat达成合作,将订阅变现工具直接集成至Replit平台。用户只需通过自然语言提示(如"添加订阅"),即可完成应用内购和订阅配置,无需离开平台。RevenueCat管理超8万款应用的订阅业务,每月处理约10亿美元交易。此次合作旨在让"氛围编程"用户在构建应用的同时即可实现商业变现,月收入未达2500美元前免费使用,超出后收取1%费用。
北京大学携手北邮,教AI“感知光线“——让生成视频真正懂得光影的秘密
LiVER是由北京大学、北京邮电大学等机构联合提出的视频生成框架,核心创新是将物理渲染技术与AI视频生成结合,通过Blender引擎计算漫反射、粗糙GGX和光泽GGX三种光照图像构成"场景代理",引导视频扩散模型生成光影物理准确的视频。框架包含渲染器智能体、轻量化编码器适配器和三阶段训练策略,支持对光照、场景布局和摄像机轨迹的独立精确控制。配套构建的LiVERSet数据集含约11000段标注视频,实验显示该方法在视频质量和控制精度上均优于现有方法。
所有人都在谈AI护栏,但真正在构建它的人在哪里?
所有人都说AI需要护栏,但真正在构建它的人寥寥无几。SkipLabs创始人Julien Verlaguet深耕这一问题已逾一年,他发现市面上多数"护栏"不过是提示词包装。为此,他打造了专为后端服务设计的AI编程智能体Skipper,基于健全的TypeScript类型系统与响应式运行时,实现增量式代码生成与测试,内部基准测试通过率超90%。他认为,编程语言的"人类可读性时代"正走向终结,面向智能体的精确工具链才是未来。
米拉-魁北克AI研究所教会小模型“聪明干活“:用更少数据超越GPT-4o的网页智能体训练秘诀
这项由蒙特利尔学习算法研究所(Mila)与麦吉尔大学联合发布的研究(arXiv:2604.07776,2026年4月)提出了AGENT-AS-ANNOTATORS框架,通过模仿人类数据标注的三种角色分工,系统化生成高质量网页智能体训练轨迹。以Gemini 3 Pro为教师模型,仅用2322条精选轨迹对90亿参数的Qwen3.5-9B模型进行监督微调,在WebArena基准上达到41.5%成功率,超越GPT-4o和Claude 3.5 Sonnet,并在从未见过的企业平台WorkArena L1上提升18.2个百分点,验证了"数据质量远比数量重要"这一核心结论。
2026
01/21
08:43
分享
点赞
Replit携手RevenueCat,助力"氛围编程"开发者实现应用变现
所有人都在谈AI护栏,但真正在构建它的人在哪里?
Chrome版Gemini新增"技能"功能,支持保存并复用常用AI提示词
OpenAI推出药物研发专属AI模型GPT-Rosalind
NanoClaw携手Vercel,为AI智能体敏感操作打造一键审批机制
SaySo:专为重建新闻信任而生的短视频应用
Loop完成9500万美元C轮融资,用AI预测并化解供应链风险
使用MacBook Neo一个月后,我发现了它的性能极限
服务器机房的门锁形同虚设,安全认证险些露馅
Isabelle/HOL:驱动Nitro隔离引擎背后的形式化证明工具
鹏鼎控股泰国建厂:全球PCB龙头如何用42.97亿元押注AI服务器
Agent赋能保险理赔:从“人工苦海”到“智能闭环”
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
