Zafran Labsは、企業環境全体で展開されている人気のオープンソースAIフレームワークChainlitにおける2つの重大な脆弱性を特定しました。これらの脆弱性により、未認証の攻撃者が機密性の高いクラウド認証情報を漏えいさせ、インフラを侵害できる可能性があります。
この発見は、AIアプリケーションの構成要素に潜むセキュリティ上の弱点を明らかにすることに焦点を当てた継続的な取り組み「Project DarkSide」の開始を示すものです。
PyPI で月間約70万回のダウンロードがあり、大企業や学術機関での稼働実績もあることから、Chainlitの脆弱性はAIインフラを急速に導入している組織にとって重大なリスクとなります。
これらの欠陥(CVE-2026-22218およびCVE-2026-22219)はユーザー操作なしで悪用可能であり、攻撃者は環境変数、データベース内容、ソースコードを流出させた後、クラウド環境内で横展開できます。
CVE-2026-22218は、/project/elementエンドポイントにおける不適切な検証を悪用します。攻撃者は、カスタム要素内の制御可能なプロパティを用いて悪意のあるHTTPリクエストを作成します。
pathプロパティを任意のファイル位置(例:/proc/self/environ)に設定することで、この脆弱性によりChainlitプロセスがアクセス可能な任意のファイルを読み取れるようになります。
LangChainキャッシュを使用するマルチテナント展開では、攻撃者が.chainlit/.langchain.dbに保存されたテナント間のプロンプトや応答を漏えいさせる可能性があります。
CVE-2026-22219は、同じ要素エンドポイントを通じてSQLAlchemyのデータ層を標的にします。悪意のあるurlプロパティを指定することで、攻撃者はサーバーに内部ターゲットへのHTTPリクエストを強制します。
IMDSv1が有効なAWS EC2インスタンスでは、これにより169.254.169.254のメタデータサービスを介して一時的なセキュリティ認証情報を取得できます。
環境変数が流出すると、攻撃者はクラウド認証情報(AWS_SECRET_KEY)、データベースURL、および認証シークレットにアクセスできるようになります。
クラウドネイティブな展開では、これらの認証情報により、ストレージバケット、シークレットマネージャー、LLMサービス、内部データリポジトリへ直接アクセスできます。
任意ファイル読み取りとSSRFの組み合わせにより、クラウド環境内で完全な横展開が可能になります。
さらに、漏えいしたソースコードは独自のコールバックやフックを露出させ、追加の脆弱性調査や別の攻撃経路の特定を可能にします。
Chainlitは、両方の脆弱性に対処した修正版2.9.4をリリースしました。組織は影響を受ける展開の即時パッチ適用を最優先すべきです。
パッチが展開されるまでの間、Zafranは検知シグネチャを提供しています:
この発見は、セキュリティ最優先のアーキテクチャなしにAIを急速に導入することが大きなリスクを生むことを改めて示しています。
アクセス制御の欠陥、ファイル処理、ネットワーク相互作用の問題といった従来型の脆弱性クラスが、サードパーティ製フレームワークを通じてAIインフラに直接組み込まれつつあります。
組織がUIフレームワーク、オーケストレーション基盤、LLMサービスを組み合わせた多層AIシステムを構築するにつれ、攻撃対象領域は大幅に拡大します。
Chainlitの展開状況を直ちに棚卸しし、バージョン2.9.4以降へパッチを適用するとともに、AIインフラ全体でクラウド認証情報と環境変数を厳格に分離(セグメンテーション)してください。
翻訳元: https://cyberpress.org/critical-chainlit-ai-vulnerabilities/