Исследователи кибербезопасности из компании Trend Micro обнаружили две критические уязвимости в приложении Wondershare RepairIt, предназначенном для восстановления данных и редактирования фотографий с помощью ИИ. Эти недостатки не только раскрывают конфиденциальные данные пользователей, но и создают масштабные риски для всей цепочки поставок программного обеспечения, позволяя злоумышленникам изменять как AI-модели компании, так и её продукты.
Выявленные уязвимости, зарегистрированные как CVE-2025-10643 (рейтинг CVSS 9.1) и CVE-2025-10644 (рейтинг CVSS 9.4), позволяют обойти аутентификацию. Первая связана с чрезмерными разрешениями токена учётной записи хранения, а вторая — с разрешениями токена общего доступа (SAS token). Несмотря на то, что компания Wondershare была уведомлена об уязвимостях в апреле 2025 года через инициативу Zero Day Initiative (ZDI), никакой реакции от разработчика не последовало.
Коренной причиной проблем стали грубые нарушения практик DevSecOps. Разработчики встроили в код приложения облачные токены доступа с избыточными правами, которые предоставляли не только возможность чтения, но и записи данных в облачном хранилище. Ситуация усугублялась тем, что вся пользовательская информация, включая загруженные фотографии и видео, хранилась в незашифрованном виде, что прямо противоречило политике конфиденциальности самого продукта.
Последствия эксплуатации этих уязвимостей выходят далеко за рамки утечки пользовательских данных. Успешная атака позволяет не только обойти аутентификацию и получить доступ к файлам клиентов, но и открывает возможность для проведения полномасштабной атаки на цепочку поставок. В скомпрометированном облачном хранилище находились не только данные пользователей, но и исходный код компании, AI-модели, исполняемые файлы других продуктов Wondershare, образы контейнеров и различные скрипты.
Это означает, что злоумышленник может незаметно модифицировать AI-модели или внедрить вредоносный код в программные продукты. После этого изменённые файлы могут быть распространены среди тысяч пользователей через официальные обновления, подписанные легитимным сертификатом разработчика. Такой сценарий позволяет выполнять произвольный код на компьютерах клиентов, что ведёт к краже интеллектуальной собственности, регуляторным штрафам и полной потере доверия со стороны потребителей. Ввиду отсутствия исправлений, исследователи Альфредо Оливейра и Дэвид Файзер рекомендуют пользователям «ограничить взаимодействие с продуктом».
Проблема Wondershare является частью более широкой и тревожной тенденции. Ранее Trend Micro и Kaspersky предупреждали об опасности незащищённых серверов Model Context Protocol (MCP), которые служат шлюзами к базам данных и облачным сервисам. Исследователь из Kaspersky Мохамед Гобаши продемонстрировал концептуальный эксплойт (PoC), доказывающий, что MCP-сервер, установленный из ненадёжного источника, может скрытно выполнять разведку в системе и похищать данные, поскольку работает с привилегиями пользователя.
Другой вектор атак, на который Trend Micro указала ещё в декабре 2024 года, связан с незащищёнными реестрами контейнеров. Злоумышленники могут получить к ним доступ, извлечь Docker-образ с AI-моделью, изменить её параметры для манипуляции предсказаниями, а затем загрузить поддельную версию обратно в реестр. Такая отравленная модель может вести себя нормально до тех пор, пока не получит специфические входные данные, что позволяет ей обходить базовые проверки безопасности.
Стремительное внедрение AI-ассистентов для написания кода в корпоративной среде породило новые, изощрённые методы атак. Исследователь из Palo Alto Networks Unit 42 Ошер Якоб описал атаку «косвенного внедрения промпта» (Indirect Prompt Injection). Её суть заключается в том, что злоумышленник встраивает вредоносные инструкции во внешние источники данных — например, в файл, репозиторий или веб-страницу. Когда пользователь передаёт такой заражённый источник AI-ассистенту, тот не может отличить скрытые команды атакующего от легитимных запросов пользователя, что может привести к внедрению бэкдоров или утечке конфиденциальной информации.
Специалисты из компании Checkmarx, в частности исследователь Ори Рон, выявили ещё более коварный метод под названием «Ложь в цикле» ("Lies-in-the-Loop", LitL). Эта атака направлена на обход защитного механизма «человек в цикле» (Human-in-the-Loop), который предполагает контроль со стороны человека за действиями ИИ. Атакующий предоставляет AI-агенту ложный контекст, например, в виде специально созданной задачи на GitHub, заставляя его неверно интерпретировать вредоносные действия и представлять их человеку как безопасные.
В результате AI-агент становится соучастником атаки, убеждая человека-оператора одобрить высокорисковые операции. Таким образом, злоумышленник, обманув доверие между человеком и машиной, фактически получает «ключи от королевства». Эти примеры демонстрируют, что в погоне за быстрой реализацией новых AI-функций организации часто упускают из виду критические аспекты безопасности. Единственным решением является внедрение строгих процессов контроля безопасности на всех этапах жизненного цикла разработки, включая конвейер непрерывной интеграции и доставки (CI/CD).
Изображение носит иллюстративный характер
Выявленные уязвимости, зарегистрированные как CVE-2025-10643 (рейтинг CVSS 9.1) и CVE-2025-10644 (рейтинг CVSS 9.4), позволяют обойти аутентификацию. Первая связана с чрезмерными разрешениями токена учётной записи хранения, а вторая — с разрешениями токена общего доступа (SAS token). Несмотря на то, что компания Wondershare была уведомлена об уязвимостях в апреле 2025 года через инициативу Zero Day Initiative (ZDI), никакой реакции от разработчика не последовало.
Коренной причиной проблем стали грубые нарушения практик DevSecOps. Разработчики встроили в код приложения облачные токены доступа с избыточными правами, которые предоставляли не только возможность чтения, но и записи данных в облачном хранилище. Ситуация усугублялась тем, что вся пользовательская информация, включая загруженные фотографии и видео, хранилась в незашифрованном виде, что прямо противоречило политике конфиденциальности самого продукта.
Последствия эксплуатации этих уязвимостей выходят далеко за рамки утечки пользовательских данных. Успешная атака позволяет не только обойти аутентификацию и получить доступ к файлам клиентов, но и открывает возможность для проведения полномасштабной атаки на цепочку поставок. В скомпрометированном облачном хранилище находились не только данные пользователей, но и исходный код компании, AI-модели, исполняемые файлы других продуктов Wondershare, образы контейнеров и различные скрипты.
Это означает, что злоумышленник может незаметно модифицировать AI-модели или внедрить вредоносный код в программные продукты. После этого изменённые файлы могут быть распространены среди тысяч пользователей через официальные обновления, подписанные легитимным сертификатом разработчика. Такой сценарий позволяет выполнять произвольный код на компьютерах клиентов, что ведёт к краже интеллектуальной собственности, регуляторным штрафам и полной потере доверия со стороны потребителей. Ввиду отсутствия исправлений, исследователи Альфредо Оливейра и Дэвид Файзер рекомендуют пользователям «ограничить взаимодействие с продуктом».
Проблема Wondershare является частью более широкой и тревожной тенденции. Ранее Trend Micro и Kaspersky предупреждали об опасности незащищённых серверов Model Context Protocol (MCP), которые служат шлюзами к базам данных и облачным сервисам. Исследователь из Kaspersky Мохамед Гобаши продемонстрировал концептуальный эксплойт (PoC), доказывающий, что MCP-сервер, установленный из ненадёжного источника, может скрытно выполнять разведку в системе и похищать данные, поскольку работает с привилегиями пользователя.
Другой вектор атак, на который Trend Micro указала ещё в декабре 2024 года, связан с незащищёнными реестрами контейнеров. Злоумышленники могут получить к ним доступ, извлечь Docker-образ с AI-моделью, изменить её параметры для манипуляции предсказаниями, а затем загрузить поддельную версию обратно в реестр. Такая отравленная модель может вести себя нормально до тех пор, пока не получит специфические входные данные, что позволяет ей обходить базовые проверки безопасности.
Стремительное внедрение AI-ассистентов для написания кода в корпоративной среде породило новые, изощрённые методы атак. Исследователь из Palo Alto Networks Unit 42 Ошер Якоб описал атаку «косвенного внедрения промпта» (Indirect Prompt Injection). Её суть заключается в том, что злоумышленник встраивает вредоносные инструкции во внешние источники данных — например, в файл, репозиторий или веб-страницу. Когда пользователь передаёт такой заражённый источник AI-ассистенту, тот не может отличить скрытые команды атакующего от легитимных запросов пользователя, что может привести к внедрению бэкдоров или утечке конфиденциальной информации.
Специалисты из компании Checkmarx, в частности исследователь Ори Рон, выявили ещё более коварный метод под названием «Ложь в цикле» ("Lies-in-the-Loop", LitL). Эта атака направлена на обход защитного механизма «человек в цикле» (Human-in-the-Loop), который предполагает контроль со стороны человека за действиями ИИ. Атакующий предоставляет AI-агенту ложный контекст, например, в виде специально созданной задачи на GitHub, заставляя его неверно интерпретировать вредоносные действия и представлять их человеку как безопасные.
В результате AI-агент становится соучастником атаки, убеждая человека-оператора одобрить высокорисковые операции. Таким образом, злоумышленник, обманув доверие между человеком и машиной, фактически получает «ключи от королевства». Эти примеры демонстрируют, что в погоне за быстрой реализацией новых AI-функций организации часто упускают из виду критические аспекты безопасности. Единственным решением является внедрение строгих процессов контроля безопасности на всех этапах жизненного цикла разработки, включая конвейер непрерывной интеграции и доставки (CI/CD).
