Исследователи безопасности из компании Zafran Security, Гал Забан и Идо Шани, обнаружили серьезные недостатки в популярном фреймворке Chainlit, используемом для создания диалоговых чат-ботов. Данный набор уязвимостей, получивший общее название ChainLeak, позволяет аутентифицированным злоумышленникам выполнять произвольное чтение файлов и осуществлять подделку межсайтовых запросов (SSRF). Эти бреши создают угрозу кражи конфиденциальных данных, таких как API-ключи и облачные учетные данные, а также способствуют горизонтальному перемещению внутри сети организации. По данным Python Software Foundation, Chainlit был загружен более 7,3 миллиона раз, причем только за последнюю неделю количество скачиваний превысило 220 000, что подчеркивает масштаб потенциальной угрозы.
Обе выявленные уязвимости проявляются в потоке обновлений по пути «/project/element» и вызваны отсутствием надлежащей проверки полей, контролируемых пользователем. Первая уязвимость, идентифицированная как CVE-2026-22218, представляет собой произвольное чтение файлов. Этот механизм позволяет злоумышленнику получить доступ к содержимому любого файла, который может прочитать служба. Эксплуатация включает чтение «/proc/self/environ» для кражи внутренних путей к файлам и учетных данных, доступ к исходному коду приложения, а также утечку файлов базы данных, особенно если используется SQLAlchemy с бэкендом SQLite.
Вторая уязвимость, получившая идентификатор CVE-2026-22219 и высокую оценку серьезности 8.3 балла по шкале CVSS, классифицируется как SSRF. Она возникает при конфигурации с уровнем данных SQLAlchemy и позволяет атакующим отправлять произвольные HTTP-запросы к внутренним сетевым службам или конечным точкам метаданных облака. Злоумышленник может сохранять полученные ответы, что, по словам исследователей, приводит к критическим последствиям. Как отметили эксперты: «То, что изначально кажется ограниченным недостатком, становится прямым доступом к самым чувствительным секретам системы». Дата 24 декабря 2025 года связывается в отчетах с выпуском версии 9.4 или обновлением данных по CVSS.
Последствия эксплуатации ChainLeak выходят далеко за рамки простого сбоя. Утечка API-ключей облачной среды и чувствительных файлов открывает двери для компрометации всей системы. Получив доступ к наиболее важным секретам и внутреннему состоянию системы, хакеры могут осуществлять глубокое проникновение в скомпрометированную сеть. Это превращает популярный инструмент разработки в точку входа для масштабных кибератак на инфраструктуру компаний, внедряющих искусственный интеллект.
Параллельно с проблемами Chainlit, компания BlueRock, специализирующаяся на безопасности агентного ИИ, раскрыла информацию об уязвимости в сервере Microsoft MarkItDown Model Context Protocol (MCP). Этот недостаток, названный «MCP fURI», связан с произвольным вызовом ресурсов через инструмент convert_to_markdown. Корневой причиной является отсутствие границ для идентификатора ресурса (URI), что позволяет получить доступ к любому HTTP или файловому ресурсу.
Особую опасность уязвимость Microsoft представляет для серверов, работающих на экземплярах Amazon Web Services (AWS) EC2, использующих IDMSv1. Эксплуатация через SSRF позволяет запрашивать метаданные экземпляра, что ведет к краже учетных данных AWS (ключей доступа и секретных ключей), если с экземпляром связана определенная роль. Это создает условия для повышения привилегий и получения полного контроля над учетной записью AWS. Для защиты эксперты рекомендуют использовать IMDSv2, внедрять блокировку частных IP-адресов, ограничивать доступ к службам метаданных и создавать белые списки для предотвращения эксфильтрации данных.
Масштаб проблемы с протоколом MCP подтверждается статистикой: BlueRock проанализировала более 7 000 серверов MCP и выяснила, что более 36,7% из них, вероятно, подвержены аналогичным уязвимостям SSRF. Ситуация иллюстрирует более широкую отраслевую тенденцию: организации стремительно внедряют ИИ-фреймворки и сторонние компоненты, часто игнорируя риски. В результате давно известные классы программных уязвимостей встраиваются в новую инфраструктуру искусственного интеллекта, создавая плохо изученные поверхности для атак.
Изображение носит иллюстративный характер
Обе выявленные уязвимости проявляются в потоке обновлений по пути «/project/element» и вызваны отсутствием надлежащей проверки полей, контролируемых пользователем. Первая уязвимость, идентифицированная как CVE-2026-22218, представляет собой произвольное чтение файлов. Этот механизм позволяет злоумышленнику получить доступ к содержимому любого файла, который может прочитать служба. Эксплуатация включает чтение «/proc/self/environ» для кражи внутренних путей к файлам и учетных данных, доступ к исходному коду приложения, а также утечку файлов базы данных, особенно если используется SQLAlchemy с бэкендом SQLite.
Вторая уязвимость, получившая идентификатор CVE-2026-22219 и высокую оценку серьезности 8.3 балла по шкале CVSS, классифицируется как SSRF. Она возникает при конфигурации с уровнем данных SQLAlchemy и позволяет атакующим отправлять произвольные HTTP-запросы к внутренним сетевым службам или конечным точкам метаданных облака. Злоумышленник может сохранять полученные ответы, что, по словам исследователей, приводит к критическим последствиям. Как отметили эксперты: «То, что изначально кажется ограниченным недостатком, становится прямым доступом к самым чувствительным секретам системы». Дата 24 декабря 2025 года связывается в отчетах с выпуском версии 9.4 или обновлением данных по CVSS.
Последствия эксплуатации ChainLeak выходят далеко за рамки простого сбоя. Утечка API-ключей облачной среды и чувствительных файлов открывает двери для компрометации всей системы. Получив доступ к наиболее важным секретам и внутреннему состоянию системы, хакеры могут осуществлять глубокое проникновение в скомпрометированную сеть. Это превращает популярный инструмент разработки в точку входа для масштабных кибератак на инфраструктуру компаний, внедряющих искусственный интеллект.
Параллельно с проблемами Chainlit, компания BlueRock, специализирующаяся на безопасности агентного ИИ, раскрыла информацию об уязвимости в сервере Microsoft MarkItDown Model Context Protocol (MCP). Этот недостаток, названный «MCP fURI», связан с произвольным вызовом ресурсов через инструмент convert_to_markdown. Корневой причиной является отсутствие границ для идентификатора ресурса (URI), что позволяет получить доступ к любому HTTP или файловому ресурсу.
Особую опасность уязвимость Microsoft представляет для серверов, работающих на экземплярах Amazon Web Services (AWS) EC2, использующих IDMSv1. Эксплуатация через SSRF позволяет запрашивать метаданные экземпляра, что ведет к краже учетных данных AWS (ключей доступа и секретных ключей), если с экземпляром связана определенная роль. Это создает условия для повышения привилегий и получения полного контроля над учетной записью AWS. Для защиты эксперты рекомендуют использовать IMDSv2, внедрять блокировку частных IP-адресов, ограничивать доступ к службам метаданных и создавать белые списки для предотвращения эксфильтрации данных.
Масштаб проблемы с протоколом MCP подтверждается статистикой: BlueRock проанализировала более 7 000 серверов MCP и выяснила, что более 36,7% из них, вероятно, подвержены аналогичным уязвимостям SSRF. Ситуация иллюстрирует более широкую отраслевую тенденцию: организации стремительно внедряют ИИ-фреймворки и сторонние компоненты, часто игнорируя риски. В результате давно известные классы программных уязвимостей встраиваются в новую инфраструктуру искусственного интеллекта, создавая плохо изученные поверхности для атак.
