サイバーセキュリティ企業Zafranによると、Chainlitに存在する2件の高深刻度の脆弱性により、大企業が機密情報の漏えいにつながる攻撃にさらされている。
会話型AIアプリケーションを構築するためのオープンソースのPythonパッケージであるChainlitは、PyPIで月間70万回以上ダウンロードされている。
このフレームワークはLangChain、OpenAI、Bedrock、Llamaなどとの統合を提供し、認証、クラウド展開、テレメトリといった機能をサポートしている。
Zafranによれば、インターネットからアクセス可能なChainlitサーバーが複数存在し、大企業や学術機関に関連するインスタンスも含まれており、サーバー上の任意のファイル内容を漏えいさせる攻撃を受けやすいという。
これは、2.9.4より前のChainlitがCVE-2026-22218およびCVE-2026-22219の影響を受けているためであり、これら2つの高深刻度のバグにより、脅威アクターが任意のファイルを読み取り、内部ネットワークサービスやクラウドのメタデータエンドポイントにリクエストを送信できるようになる。
これらの欠陥により、攻撃者は「APIキー、認証情報、内部ファイルパス、内部IP、ポート」を含み得る環境変数、さらには認証トークンの署名に使用されるCHAINLIT_AUTH_SECRET変数まで流出させることができると、Zafranは述べている。
「ユーザー識別子があれば(データベースの漏えいによって取得できるほか、組織のメールアドレスから推測することも可能である)、攻撃者は認証トークンを偽造し、アカウントを乗っ取ることができる」とZafranは指摘する。
デプロイがSQLiteバックエンドのSQLAlchemyデータレイヤーに依存している場合、ユーザー、会話、メッセージ、メタデータを含むChainlitデータベースが漏えいする可能性がある。
LangChainのLLM統合フレームワークが使用されている場合、攻撃者はこれらのバグを悪用して、LangChainキャッシュから全ユーザーのプロンプトおよび応答の保存内容を漏えいさせることができる。攻撃者はまた、Chainlitディレクトリからアプリケーションのソースコードを取得することも可能だ。
サイバーセキュリティ企業によれば、AWS上にデプロイされたChainlitインスタンスは、ロールのエンドポイントを取得してクラウド環境内で横展開することを目的に狙われる可能性があるという。
「サーバーからクラウド認証情報やIAMトークンが取得されると、攻撃者はもはやアプリケーションに限定されず、その背後にあるクラウド環境へのアクセスを得る。ストレージバケット、シークレットマネージャー、LLM、内部データ、その他のクラウドリソースが攻撃者からアクセス可能になる恐れがある」とZafranは指摘している。
翻訳元: https://www.securityweek.com/chainlit-vulnerabilities-may-leak-sensitive-information/
