出典:Alamy Stock Photo(robertharding)
注目の人工知能(AI)フレームワークに存在する、古典的なソフトウェア脆弱性2件により、攻撃者がユーザーのクラウド環境を乗っ取れる可能性があった。
AIチャットボットに影響する脆弱性がすべてプロンプトインジェクション(PI)、間接プロンプトインジェクション(IPI)、あるいは奇妙な新しい脅威ベクターに関するものというわけではない。派手さを取り払えば、AI技術は通常のITおよびクラウド基盤の上に成り立っている。したがって、他のIT/クラウドアプリケーションと同様の種類のバグにしばしば脆弱である。
「サーバー、Webアプリケーション、ユーザーインターフェース(UI)、クライアントがある。つまり、この種のシステムの攻撃対象領域は実際かなり似通っており、私たちが見慣れているWebの脆弱性は、この種のシステムでも依然として重要です」と、Zafran SecurityのリサーチチームリードであるGal Zaban氏は説明する。
しかし彼女は、「AIシステムは通常、社内の他のサービスと接続されているため、さらにリスクが高い」と付け加える。
Zafranの研究者は新しいレポートで、会話型チャットボットを作成するためのオープンソースフレームワーク「Chainlit」に影響する重大度の高い脆弱性2件を公開した。このフレームワークはここ数カ月で急速に成長しており、現在はPython Package Index(PyPI)から週あたり20万回超ダウンロードされている。Chainlitは先月、2件の脆弱性を修正するバージョン2.9.4をリリースしたが、これらの脆弱性により数百万人のユーザーがデータ損失、クラウドアカウントの乗っ取りなどのリスクにさらされていた。
Chainlitの脆弱性
大まかに言えば、チャットボットの技術スタックは3つの領域に分けられる。ユーザーが操作するフロントエンドUIと、問い合わせ先となる大規模言語モデル(LLM)がある。そして両者の間を取り持つのがバックエンドで、皮肉にもこの場合は中間に位置する。例えばChainlitは、フロントエンドのチャットボットと、それが動作するバックエンドのWebサーバーの両方を扱い、他のオープンソースフレームワークを介して既存の言語モデルに接続する。
したがって脅威アクターにとって、Chainlitには2つの潜在的な攻撃対象領域がある。チャットボットに話しかけて悪意ある行為をさせようとするか、あるいはZafranの研究者が発見したように、あらゆる小細工を飛ばして別の入口から侵入するかだ。
研究者が見つけた最初の脆弱性CVE-2025-22218(CVSS 7.7)は、メッセージにファイルやその他のカスタム「要素」を添付できるChainlitの機能に起因する。特定のAPIエンドポイントを使うことで、攻撃者はこれらのカスタム要素を更新し、サーバー上の任意のファイルを指すようにできる。これには、本来アクセスできないはずのファイル(設定、データベースファイル、ソースコードなど)も含まれる。サーバーはそのファイルを攻撃者のセッションに保存し、その後攻撃者はダウンロードできる。
2つ目のサーバーサイドリクエストフォージェリ(SSRF)のバグは、CVE-2026-21219(CVSS 7.0)として追跡されており、ほぼ同じ方法でトリガーされる。データ永続化に「SQLAlchemy」を使用する実装では、攻撃者がURLを含むカスタム要素をサーバーに送ると、サーバーは攻撃者が本来到達できないはずのURLであっても、そこにあるものを取得しに行ってしまう。
攻撃者はどちらの脆弱性も単独で悪用できる。しかし、より効果的なのは、まず1つ目のバグで標的組織の内部事情を把握し秘密を盗み、その後2つ目のバグでそれらの機微なシステムに実際に到達することだろう。そうなれば、クラウドアカウントへのアクセス、ラテラルムーブメント、データ窃取、さらにはソースコード窃取まで、すべてが射程に入る。
具体的には、Chainlitがインスタンスメタデータサービス バージョン1(IMDSv1)を有効にしたAmazon Web Services(AWS)のEC2インスタンス上にデプロイされている場合、攻撃者はSSRFの欠陥を悪用して当該サービスにアクセスし、認証情報やロールのエンドポイントを取得できるとZafranの研究者は警告した(IMDSv2を有効にしたEC2インスタンスは影響を受けない)。
AIのトレードオフ:機能性 vs. セキュリティ
Zaban氏によれば、AIが従来型のソフトウェアバグに脆弱であるというだけではない。より退屈で定着した技術よりも、さらに脆弱になりやすいという。
「通常、企業は多くのAIフレームワークを組み合わせ、連鎖させ、異なるメンテナーによるさまざまなコンポーネントを使ってソリューションを作ります。その結果、すべての開発者が把握しているわけではないコードが大量に存在する状況が生まれます。そして企業は非常に迅速な開発を必要とするため、脆弱性が生まれるのです」と彼女は言う。
さらに、商用AIは構造的に過剰な権限が付与されがちで、セキュリティが不十分であり、たいていは周囲にある他のあらゆるシステムと相互接続されているため、よくある種類のバグの結果がはるかに危険になり得る。
「市場で見てきたのは、AIアプリケーションの非常に中心的な価値提案が、他のアプリケーションのデータへのアクセスにあるということです。つまり、問い合わせたり、行動したり、ユーザーの力を増幅する存在となって、あるプラットフォームが持つあらゆる洞察にアクセスできる能力です」と、Zafran SecurityのCTOであるBen Seri氏は言う。もちろん、相互接続性の裏側には攻撃経路がある。
「残念なトレードオフがあります」とSeri氏は言う。「こうした進歩や能力は価値を生みますが、リスクも負うことになります」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/vulnerabilities-break-chainlit-ai-framework
