サイバー脅威露出のスタートアップZafranによると、人気のオープンソースAIフレームワークChainlitに存在する「悪用が容易」な2つの脆弱性により、大手企業のクラウド環境がデータ漏えい、さらには完全な乗っ取りのリスクにさらされているという。
Chainlitは、組織が本番運用可能なAIチャットボットやアプリケーションを構築するために利用できるPythonパッケージだ。企業はChainlitに組み込まれたUIとバックエンドを使うことも、Chainlitのバックエンド上に独自のフロントエンドを作ることもできる。また、LangChain、OpenAI、Bedrock、LlamaIndexなど他のツールやプラットフォームとも統合でき、認証やクラウドへのデプロイオプションもサポートしている。
毎月およそ70万回ダウンロードされ、昨年は500万ダウンロードに達した。
2つの脆弱性は、任意ファイル読み取りを可能にするCVE-2026-22218と、AIアプリケーションをホストするサーバーに対するサーバーサイドリクエストフォージェリ(SSRF)攻撃につながり得るCVE-2026-22219だ。
Zafranは実際の攻撃(in-the-wild)で悪用されている兆候は確認していないものの、「私たちが観測したインターネット公開アプリケーションは金融サービスおよびエネルギー分野のものに属しており、大学もこのフレームワークを使用しています」と、CTOのBen Seri氏はThe Registerに語った。
Zafranは11月にこのバグをプロジェクトのメンテナーへ開示し、その1か月後にChainlitは欠陥を修正するパッチ版(2.9.4)をリリースした。したがってChainlitを使用している場合は、修正版リリースへフレームワークを更新しておくべきだ。
任意ファイル読み取り
任意ファイル読み取りの欠陥であるCVE-2026-22218は、フレームワークが「要素(elements)」をどのように扱うかに関係している。要素とは、ファイルや画像など、メッセージに添付できるコンテンツの断片だ。改ざんしたカスタム要素を含む悪意ある要素更新リクエストを送ることで発火し、/proc/self/environを読み取って環境変数を流出させる目的で悪用できる。
Zafranの分析(公開前にThe Registerと共有)によれば、「これらの変数には、APIキー、認証情報、内部ファイルパス、内部IP、ポートなど、システムや企業が依存する極めて機微な値が含まれていることが多い」という。「これは、ユーザーに合わせたチャットボット体験を提供するためにサーバーが社内の内部データへアクセスできるAIシステムにおいて、特に危険だ」。
認証が有効な環境では、攻撃者は認証トークンの署名に使われる秘密情報(CHAINLIT_AUTH_SECRET)を盗み出せる。これらの秘密情報は、ユーザー識別子(データベースから漏えいしたもの、または組織のメールアドレスから推測できるもの)と組み合わせることで、認証トークンを偽造し、ユーザーのChainlitアカウントを完全に乗っ取るために悪用され得る。
他にも、取得され得る環境変数には、Chainlitがクラウドストレージに必要とするAWS_SECRET_KEYのようなクラウド認証情報のほか、機微なAPIキーや内部サービスのアドレス/名称などが含まれる可能性がある。
さらに攻撃者は、2つ目のSSRF脆弱性を使ってこれらのアドレスを探索し、内部REST APIから機微なデータへアクセスできる。
サーバーサイドリクエストフォージェリ
Zafranは、SQLAlchemyのデータ層にSSRF脆弱性であるCVE-2026-22219を見つけた。これは任意ファイル読み取りと同様に、改ざんしたカスタム要素を介して発火する。その後、攻撃者はメタデータから要素の「chainlit key」プロパティを抽出してコピーされたファイルを取得し、攻撃者が管理するコンピューターへファイルをダウンロードし、そのファイルを照会して会話履歴へアクセスできる。
Seri氏によれば、これらの脆弱性は「悪用が容易」であり、複数の方法で組み合わせて機微なデータを漏えいさせ、権限を昇格し、システム内を水平移動できるという。
「攻撃者は単純なコマンドを送って、アクセスしたいファイルやURLを指すように1つの値を変更するだけでよい」と同氏は述べた。
「脆弱性をどのように組み合わせられるかという点では、SSRFは通常サーバー環境の知識を必要とします」とSeri氏は付け加えた。「読み取り脆弱性を利用して環境の詳細や内部アドレスといった情報を漏えいさせれば、SSRF攻撃を成功させるのがはるかに容易になります」
企業はAIフレームワークを用いて独自のAIチャットボットやアプリを構築するケースが増えており、Seri氏も、組織が「高度に機微なデータと統合された、完全に機能するAIシステムを提供するために非常に厳しい納期の下で作業している」ことを認めている。
サードパーティのフレームワークやオープンソースコードを使うことで開発チームは迅速に進められる一方、環境に新たなリスクも持ち込む。
「リスクはサードパーティコードの使用そのものではなく、急速な統合、追加されたコードへの理解不足、そしてセキュリティとコード品質を外部メンテナーに依存することの組み合わせにあります」とSeri氏は述べた。「その結果、組織はクライアント、クラウドリソース、LLMと通信するバックエンドサーバーをデプロイすることになり、脆弱性が生じてシステムを危険にさらし得る複数の侵入口が作られてしまうのです」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/20/ai_framework_flaws_enterprise_clouds/
