Platformele de IA nu sunt ferite de riscurile de securitate: Unit 515 descoperă mai multe vulnerabilități RCE de gravitate critică în WeKnora

Platformele de IA devin rapid o parte integrantă a fluxurilor de lucru moderne din domeniul producției, însă inovația nu elimină riscurile de securitate. La fel ca aplicațiile tradiționale, platformele native pentru IA rămân expuse unor tipuri cunoscute de vulnerabilități și, în multe cazuri, introduc noi suprafețe de atac pe măsură ce coordonarea modelelor lingvistice de mare capacitate (LLM), preluarea documentelor, integrarea instrumentelor externe și serviciile backend devin din ce în ce mai interconectate. Pe măsură ce aceste platforme preiau funcții cu un grad ridicat de sensibilitate din punct de vedere al securității, punctele slabe ale implementării se pot transforma rapid în probleme de securitate cu impact major.

Tencent WeKnora este un cadru open-source bazat pe modele lingvistice mari (LLM) pentru înțelegerea aprofundată a documentelor și recuperarea semantică, conceput pentru a ajuta organizațiile să creeze baze de cunoștințe și agenți AI care generează răspunsuri adaptate contextului pe baza unor date complexe și eterogene. Prin combinarea procesării documentelor, a recuperării, a fluxurilor de lucru bazate pe agenți și a integrării cu capacități externe, WeKnora permite operațiuni de cunoaștere puternice bazate pe IA, dar creează și limite de încredere sensibile la securitate care necesită o evaluare atentă atunci când sunt conectate la sisteme backend și căi de execuție.

Vulnerabilitățile identificate în WeKnora erau răspândite în mai multe domenii funcționale, în loc să fie concentrate într-o singură componentă. Problemele descoperite de Quan includeau executarea de cod de la distanță, falsificarea cererilor pe partea de server și controlul accesului defectuos, cu un impact care varia de la accesul la resurse interne până la compromiterea între chiriași și executarea codului backend. Din punct de vedere defensiv, cercetarea a evidențiat o preocupare arhitecturală mai amplă: atunci când fluxurile de lucru AI sunt autorizate să genereze interogări, să invoce instrumente sau să proceseze intrări influențate de atacatori peste granițele de încredere, defectele de implementare relativ mici pot escalada către consecințe de securitate cu impact ridicat.

Vulnerabilitățile identificate sunt rezumate mai jos:

• CVE-2026-30860: Executarea de cod de la distanță prin ocolirea protecției împotriva injecțiilor SQL în instrumentul de interogare a bazei de date AI
• CVE-2026-30861: Executarea de cod de la distanță prin injectarea de comenzi în procesul de validare a configurației MCP Stdio
• CVE-2026-30859: Deficiență în controlul accesului care duce la expunerea datelor între clienți
• CVE-2026-30858: Rebinding DNS în funcția web_fetch, care permite atacuri SSRF către resurse interne
• CVE-2026-30857: Clonarea neautorizată a bazei de cunoștințe între instanțe
• CVE-2026-30856: Deturnarea execuției instrumentelor prin denumiri ambigue în clientul MCP și injectarea indirectă a prompturilor
• CVE-2026-30855: Deficiență în controlul accesului în modulul de gestionare a chiriașilor
• CVE-2026-30247: SSRF prin redirecționare

Împreună, aceste concluzii arată că platformele native pentru IA trebuie evaluate cu aceeași rigoare aplicată oricărei stive software moderne, în special în cazul în care datele de intrare controlate de utilizator sau generate de model pot influența comportamentul backend-ului în ceea ce privește aspectele de securitate.

Dintre cele opt vulnerabilități dezvăluite,CVE-2026-30860se remarcă ca fiind una dintre cele mai semnificative din punct de vedere tehnic. Problema a afectat capacitatea de interogare a bazei de date AI a WeKnora, unde cererile în limbaj natural puteau fi traduse în interogări SQL și executate pe o sursă de date PostgreSQL conectată. În acest flux de lucru, aplicația a încercat să impună o barieră defensivă prin analizarea SQL și validarea bazată pe AST înainte de a permite executarea. Cu toate acestea, implementarea acelei logici de validare a fost incompletă. 

Calea de execuție vulnerabilă poate fi descrisă cu precizie:

• Agentul AI primește o solicitare din partea utilizatorului, care cere date dintr-o bază de cunoștințe conectată.
• Agentul transformă acea solicitare într-o interogare SQL care vizează tabelele stocate în baza de date PostgreSQL.
• WeKnora analizează sintaxa SQL folosind pg_query_go și direcționează arborele de analiză către funcțiile validateSelectStmt și validateNode.
• Dacă validarea are succes, instrucțiunea rezultată este executată cu privilegiile de bază de date configurate pentru aplicație.

Această arhitectură poate fi funcțională numai dacă parcurgerea AST este completă. Filtrarea simplă pe cuvinte-cheie nu este suficientă, deoarece PostgreSQL permite încorporarea unor apeluri de funcții periculoase în diverse tipuri de expresii și structuri-container.

Un arbore sintactic abstract (AST) este o reprezentare structurată a logicii codului sursă. În WeKnora, se utilizează analizorul oficial PostgreSQL, prin intermediul pg_query_go, pentru a transforma interogările SQL brute într-un arbore de noduri. Acest lucru permite aplicației să examineze componentele structurale ale unei interogări, precum referințele la tabele, apelurile de funcții și expresiile, în loc să se bazeze pe potrivirea tiparelor sau pe expresiile regulate, care pot fi adesea ocolite.

În cadrul acestui model, securitatea depinde de capacitatea logicii de validare de a parcurge integral AST-ul și de a inspecta fiecare nod secundar relevant. Dacă parcurgerea este incompletă, pot exista construcții periculoase ascunse în interiorul unor structuri de înveliș ale expresiilor la care validatorul nu ajunge niciodată.

WeKnora a implementat un model de apărare în profunzime care includea mai multe măsuri de securitate: verificări de validitate a datelor de intrare, analiză sintactică SQL, impunerea utilizării unei singure instrucțiuni, restricții de tip „SELECT-only”, validarea expresiilor recursive, controale de acces la tabele și blocarea funcțiilor periculoase. Luate individual, aceste straturi erau sensibile. Eșecul a avut loc în punctul în care acele protecții depindeau una de cealaltă. În special, faza de inspecție recursivă presupunea acoperirea completă a expresiilor secundare, dar implementarea anterioară versiunii 0.2.12 nu îndeplinea pe deplin această presupunere.

Implementarea funcției `validateNode` din WeKnora v0.2.11 gestiona o listă extinsă, dar incompletă, de tipuri de noduri AST din PostgreSQL. Aceasta parcurgea recursiv tipuri de noduri precum AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy și List. Cu toate acestea, după acele ramuri gestionate în mod explicit, funcția returna nil. Orice nod container care nu era inclus în acea logică de traversare devenea efectiv un punct mort, chiar dacă încă conținea expresii secundare care necesitau validare.

La nivel general, fluxul de lucru al exploatării a implicat strecurarea unor apeluri periculoase către funcții PostgreSQL prin breșa de validare a AST pentru a ajunge la elemente primitive capabile să acceseze fișiere, să abuzeze de setările de configurare și, în cele din urmă, să execute cod de la distanță. Succesul exploatării a depins de transformarea modelului într-un intermediar previzibil pentru invocarea instrumentelor, de reducerea ambiguității în modul de interpretare a cererilor și de asigurarea faptului că codul SQL rău intenționat era transmis exact în structura așteptată de aplicație.

Lecția de fond nu este doar faptul că a fost posibilă o injecție SQL, ci că parcurgerea parțială a AST a subminat limita de securitate prevăzută ca fiind doar de citire. Odată ce un apel de funcție periculos putea fi ascuns în interiorul unui container de expresii neparcurs, numeroase măsuri de protecție din aval au devenit ineficiente.

Strategia de exploatare s-a bazat pe alegerea unui model care respecta instrucțiunile în mod consecvent și genera un nivel minim de interferență în timpul executării instrumentelor cu mai multe etape. În practică, acest lucru a sporit determinismul și a facilitat păstrarea structurii exacte a încărcăturii utile necesare pentru susținerea lanțului de atac. Din perspectiva securității ofensive, acest aspect evidențiază o preocupare mai amplă în ceea ce privește fluxurile de lucru bazate pe IA: atunci când rezultatul modelului este considerat de încredere ca intermediar pentru operațiuni sensibile din punct de vedere al securității, fiabilitatea respectării instrucțiunilor poate influența în mod direct vulnerabilitatea la exploatare. 

Pentru a spori fiabilitatea execuției pe parcursul mai multor etape interdependente, secvența de atac a aplicat mai multe tehnici de optimizare a prompturilor:

1. Restricționarea solicitărilor de date din sistem – Limitarea modelului la apelarea instrumentelor numai pe baza fișierelor JSON furnizate de utilizator a redus tendința acestuia de a reinterpreta sau de a curăța datele de intrare dăunătoare.
2. Încadrarea JSON – Încadrarea datelor utile între marcatori clar definiți a contribuit la păstrarea structurii exacte a interogării.
3. Secvențiere pas cu pas – O secvență numerotată a determinat modelul să execute operațiunile cu stare în ordinea dorită.
4. Logica de bază a reîncercării – Posibilitatea de a reîncerca în caz de eșec a redus probabilitatea ca erorile temporare să întrerupă lanțul de atac.

Aceste tehnici ilustrează modul în care comportamentul modelului poate fi adaptat pentru a spori fiabilitatea exploatării atunci când fluxurile de lucru bazate pe modele lingvistice mari (LLM) sunt integrate cu platformele de execuție din backend.

Vă rugăm să consultați următorul videoclip pentru o demonstrație detaliată a impactului semnificativ asociat cu această vulnerabilitate:

Următoarele instrucțiuni au fost furnizate direct de utilizator agentului pentru a realiza execuția. De remarcat că comenzile încadrează în mod explicit codul SQL în formatul JSON exact așteptat de instrumentele WeKnora.

Mesaj de verificare (citire fișier):

Mesaj de solicitare a încărcării configurației (pașii 1 și 2):

Solicitare de încărcare a unui segment de date (Exemplu pentru segmentul 2):

Mesaj final de execuție (Export și reîncărcare):

Pentru a reduce vulnerabilitățile menționate mai sus, vă rugăm să vă asigurați că sistemul dumneavoastră este actualizat la cea mai recentă versiune a WeKnora.

OPSWAT MetaDefender Core, echipat cu funcționalitățiavansate SBOM(Software of Materials), permite organizațiilor să adopte o abordare proactivă în gestionarea riscurilor de securitate. Prin scanarea aplicațiilor software și a dependențelor acestora, MetaDefender Core vulnerabilități cunoscute, precum CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 și CVE-2026-30247, în cadrul componentelor enumerate. Acest lucru permite echipelor de dezvoltare și de securitate să prioritizeze eforturile de remediere, atenuând potențialele riscuri de securitate înainte ca acestea să poată fi exploatate de actori rău intenționați. 

Mai jos se află o captură de ecran a vulnerabilităților CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 și CVE-2026-30247, care au fost detectate de MetaDefender Core SBOM: