【安全资讯】开源AI框架Chainlit曝高危漏洞，企业云环境面临数据泄露与接管风险

概要：

随着企业加速部署AI应用，底层框架的安全性成为关键防线。近日，网络安全威胁暴露初创公司Zafran披露，广受欢迎的开源AI框架Chainlit存在两个“易于利用”的高危漏洞，可能导致企业云环境面临敏感数据泄露甚至被完全接管的严重风险。该框架每月下载量高达70万次，广泛应用于金融、能源及高校等领域，凸显了第三方代码集成带来的新型安全挑战。

主要内容：

Zafran发现的漏洞编号为CVE-2026-22218和CVE-2026-22219。前者是一个任意文件读取漏洞，源于框架处理消息附件元素的方式存在缺陷。攻击者可通过发送篡改了自定义元素的恶意更新请求，读取系统环境变量文件（如/proc/self/environ），从而窃取API密钥、云凭证（如AWS_SECRET_KEY）、内部服务地址及用于签名认证令牌的密钥（CHAINLIT_AUTH_SECRET）等高敏感信息。在启用了认证的环境中，结合从数据库泄露或推断出的用户标识符，攻击者可伪造认证令牌，完全接管用户账户。

后者是一个服务器端请求伪造（SSRF）漏洞，存在于SQLAlchemy数据层。其触发方式与文件读取漏洞类似。成功利用后，攻击者能通过提取元素元数据中的“chainlit key”属性，下载文件到受控主机，进而查询对话历史。这两个漏洞可被组合利用，形成攻击链：先利用文件读取漏洞探测服务器内部环境细节和地址，再精准发动SSRF攻击，访问内部REST API中的敏感数据，实现权限提升和横向移动。

Chainlit项目维护方在收到披露后已于去年12月发布修复版本（2.9.4）。Zafran CTO Ben Seri指出，企业为快速交付集成敏感数据的AI系统，大量使用第三方框架，但快速集成、对新增代码理解有限以及依赖外部维护者保障安全，共同导致了新的风险面。这些后端服务器与客户端、云资源和大型语言模型通信，创造了多个可能暴露漏洞的入口点。