A mesterséges intelligencia platformok sem mentesek a biztonsági kockázatoktól: az Unit 515 több kritikus súlyosságú távoli kódfuttatási (RCE) sebezhetőséget tárt fel a WeKnora rendszerben

A mesterséges intelligencia (AI) platformok egyre inkább a modern termelési munkafolyamatok szerves részévé válnak, de az innováció nem szünteti meg a biztonsági kockázatokat. A hagyományos alkalmazásokhoz hasonlóan az AI-alapú platformok is ki vannak téve a már ismert típusú sebezhetőségeknek, és sok esetben új támadási felületeket hoznak létre, mivel az LLM-koordináció, a dokumentumok bevitel, a külső eszközök integrálása és a háttérszolgáltatások egyre szorosabban összekapcsolódnak egymással. Mivel ezek a platformok egyre több biztonsági szempontból érzékeny funkciót látnak el, a megvalósítás során felmerülő hiányosságok gyorsan súlyos biztonsági problémákká fajulhatnak.

A Tencent WeKnora egy nyílt forráskódú, nagy nyelvi modelleken (LLM) alapuló keretrendszer, amely dokumentumok mélyreható értelmezésére és szemantikai visszakeresésre szolgál. Célja, hogy segítse a szervezeteket olyan tudásbázisok és mesterséges intelligencia-ügynökök létrehozásában, amelyek összetett és heterogén adatokból kontextusérzékeny válaszokat generálnak. A dokumentumfeldolgozás, a visszakeresés, az ügynökvezérelt munkafolyamatok és a külső képességekkel való integráció kombinálásával a WeKnora nemcsak hatékony, AI-vezérelt tudáskezelési műveleteket tesz lehetővé, hanem biztonsági szempontból érzékeny bizalmi határokat is létrehoz, amelyek gondos értékelést igényelnek, amikor háttérrendszerekhez és végrehajtási útvonalakhoz kapcsolódnak.

A WeKnora rendszerben azonosított biztonsági rések nem egyetlen komponensre korlátozódtak, hanem több funkcionális területre terjedtek ki. A Quan által felfedezett problémák között szerepelt a távoli kódvégrehajtás, a szerveroldali kérelemhamisítás és a hibás hozzáférés-vezérlés, amelyek hatása a belső erőforrásokhoz való hozzáféréstől a több bérlőt érintő biztonsági incidensekig és a háttérkód végrehajtásáig terjedt. Védelmi szempontból a kutatás egy szélesebb körű architektúrai problémára hívta fel a figyelmet: amikor az AI-munkafolyamatok lekérdezéseket generálhatnak, eszközöket hívhatnak meg vagy támadók által befolyásolt bemeneti adatokat dolgozhatnak fel a megbízható határokon túl, a viszonylag kis implementációs hibák is súlyos biztonsági következményekkel járhatnak.

Az azonosított biztonsági réseket az alábbiakban foglaljuk össze:

• CVE-2026-30860: Távoli kódfuttatás az AI adatbázis-lekérdező eszköz SQL-befecskendezés-megkerülésén keresztül
• CVE-2026-30861: Távoli kódfuttatás parancsbeépítés révén az MCP Stdio konfiguráció-ellenőrzésében
• CVE-2026-30859: Hozzáférési ellenőrzés megsértése, amely több felhasználói körre kiterjedő adatok nyilvánosságra kerüléséhez vezet
• CVE-2026-30858: DNS-újrakötés a web_fetch-ben, amely SSRF-t tesz lehetővé belső erőforrások felé
• CVE-2026-30857: A tudásbázis jogosulatlan másolása bérlők között
• CVE-2026-30856: Eszközfuttatás-eltérítés az MCP-kliens kétértelmű névadása és közvetett parancssor-beillesztés révén
• CVE-2026-30855: Hiba a bérlőkezelés hozzáférés-vezérlésében
• CVE-2026-30247: SSRF átirányítás útján

Ezek az eredmények együttesen azt mutatják, hogy az AI-alapú platformokat ugyanolyan szigorúan kell értékelni, mint bármely más modern szoftvercsomagot, különösen akkor, ha a felhasználó által vezérelt vagy a modell által generált bemeneti adatok befolyásolhatják a biztonsági szempontból érzékeny háttérrendszer működését.

A nyilvánosságra hozott nyolc biztonsági rés közüla CVE-2026-30860kiemelkedik mint az egyik technikailag legjelentősebb. A probléma a WeKnora mesterséges intelligencia adatbázis-lekérdezési képességét érintette, ahol a természetes nyelvű kéréseket SQL-lekérdezésekre lehetett lefordítani, és azokat egy csatlakoztatott PostgreSQL adatforráson lehetett végrehajtani. Ebben a munkafolyamatban az alkalmazás megkísérelte érvényesíteni a védelmi határt SQL-elemzés és AST-alapú érvényesítés segítségével, mielőtt engedélyezte volna a végrehajtást. Azonban az érvényesítési logika megvalósítása hiányos volt. 

A sebezhető végrehajtási út pontosan leírható:

• A felhasználói kérés eljut az AI-ügynökhöz, amely adatokat kér a kapcsolódó tudásbázisból.
• Az ügynök ezt a kérést PostgreSQL-adatbázisban tárolt táblákra irányuló SQL-lekérdezéssé alakítja át.
• A WeKnora a pg_query_go segítségével elemzi az SQL-kódot, majd az elemzési fát a validateSelectStmt és a validateNode függvényeken keresztül továbbítja.
• Ha az érvényesítés sikeres, a kapott utasítás az alkalmazáshoz beállított adatbázis-jogosultságokkal kerül végrehajtásra.

Ez az architektúra csak akkor működőképes, ha az AST-átjárás teljes körű. Az egyszerű kulcsszószűrés nem elegendő, mivel a PostgreSQL lehetővé teszi veszélyes függvényhívások beágyazását számos kifejezéstípusba és konténerstruktúrába.

Az absztrakt szintaxisfa (AST) a forráskód logikájának strukturált ábrázolása. A WeKnora alkalmazásban a pg_query_go segítségével a hivatalos PostgreSQL-elemzőt használják a nyers SQL-lekérdezések csomópontokból álló fává történő átalakítására. Ez lehetővé teszi az alkalmazás számára, hogy megvizsgálja a lekérdezés szerkezeti elemeit – például a táblahivatkozásokat, függvényhívásokat és kifejezéseket –, ahelyett, hogy olyan mintázat-egyeztetésre vagy reguláris kifejezésekre támaszkodna, amelyeket gyakran meg lehet kerülni.

Ebben a modellben a biztonság attól függ, hogy az érvényesítési logika képes-e teljes mértékben bejárni az AST-t, és minden releváns gyermekcsomópontot ellenőrizni. Ha a bejárás nem teljes, veszélyes szerkezetek rejtőzhetnek olyan kifejezésburkolatokban, amelyekhez az érvényesítő soha nem jut el.

A WeKnora egy többszintű védelmi modellt valósított meg, amely számos biztonsági ellenőrzést tartalmazott: a bemeneti adatok érvényességének ellenőrzése, SQL-elemzés, az egy utasításra való korlátozás érvényesítése, a kizárólag SELECT utasításokra vonatkozó korlátozások, a rekurzív kifejezések érvényesítése, a táblákhoz való hozzáférés ellenőrzése, valamint a veszélyes függvények blokkolása. Ezek a rétegek külön-külön értelmesek voltak. A hiba azon a ponton következett be, ahol ezek a védelmi intézkedések egymástól függtek. Különösen a rekurzív ellenőrzési fázis feltételezte a gyermek kifejezések teljes lefedettségét, de a 0.2.12-es verzió előtti megvalósítás nem felelt meg teljes mértékben ennek a feltételezésnek.

A WeKnora v0.2.11 verziójában található validateNode függvény megvalósítása a PostgreSQL AST csomóponttípusok hosszú, de nem teljes listáját kezelte. Rekurzív módon lefelé haladt olyan csomóponttípusokba, mint az AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy és List. Azok után azonban, hogy ezeket az ágakat explicit módon feldolgozta, a függvény nil értéket adott vissza. Bármely olyan konténercsomópont, amely nem szerepelt abban a bejárási logikában, gyakorlatilag vakfolt lett, még akkor is, ha továbbra is tartalmazott érvényesítést igénylő gyermekkifejezéseket.

Általánosságban elmondható, hogy a támadási folyamat során a veszélyes PostgreSQL-függvényhívásokat az AST-ellenőrzés hiányosságain keresztül csempészték be, hogy olyan alapfunkciókhoz jussanak hozzá, amelyekkel fájlhozzáférés, a konfiguráció visszaélése, és végső soron távoli kódfuttatás valósítható meg. A támadás sikerének kulcsa az volt, hogy a modellt a szerszámok meghívásának kiszámítható közvetítőjévé alakítsák, csökkentsék a kérések értelmezésének kétértelműségét, és biztosítsák, hogy a rosszindulatú SQL-parancsok pontosan az alkalmazás által elvárt szerkezetben kerüljenek továbbításra.

A tanulság nem csupán az, hogy lehetséges volt az SQL-befecskendezés, hanem az is, hogy az AST részleges bejárása aláásta a tervezett, csak olvasásra szánt biztonsági határt. Amint egy veszélyes függvényhívás elrejtődhetett egy még fel nem tárt kifejezéskonténerben, a láncban utána következő számos védelmi intézkedés hatástalanná vált.

A támadási stratégia azon alapult, hogy olyan modellt választottak, amely következetesen végrehajtotta az utasításokat, és a többlépcsős eszközök futtatása során minimális zavarokat okozott. A gyakorlatban ez növelte a determinizmust, és megkönnyítette a támadási lánc fenntartásához szükséges pontos hasznos adatcsomag-szerkezet megőrzését. A támadó biztonsági szempontból ez rávilágít az AI-alapú munkafolyamatokkal kapcsolatos általánosabb aggályra: amikor a modell kimenetét biztonsági szempontból érzékeny műveletek közvetítőjeként használják, az utasítások követésének megbízhatósága közvetlenül befolyásolhatja a rendszer kihasználhatóságát. 

A több egymástól függő lépés végrehajtásának megbízhatóságának javítása érdekében a támadási sorozat több prompt-engineering technikát is alkalmazott:

1. A rendszerparancsok korlátozása – Azáltal, hogy a modellt arra kényszerítettük, hogy kizárólag a felhasználó által megadott JSON-fájlok alapján hívjon meg eszközöket, csökkent a modell hajlandósága a rosszindulatú bemeneti adatok újraértelmezésére vagy tisztítására.
2. JSON-kapszulázás – A hasznos adatok egyértelműen meghatározott jelölők közé foglalása segített megőrizni a lekérdezés pontos szerkezetét.
3. Lépésről lépésre történő végrehajtás – A számozott sorrend arra ösztönözte a modellt, hogy az állapotfüggő műveleteket a tervezett sorrendben hajtsa végre.
4. Alapvető újrapróbálkozási logika – A sikertelenség esetén engedélyezett újrapróbálkozás csökkentette annak esélyét, hogy átmeneti hibák megszakítsák a támadási láncot.

Ezek a technikák bemutatják, hogyan alakítható a modell viselkedése annak érdekében, hogy növeljék a kihasználás megbízhatóságát, amikor a nagy nyelvi modelleken alapuló munkafolyamatokat integrálják a háttérbeli végrehajtási felületekkel.

Az alábbi videón részletesen bemutatjuk, hogy milyen jelentős hatással jár ez a sebezhetőség:

A végrehajtáshoz a felhasználó közvetlenül az ügynöknek adta meg az alábbi parancsokat. Fontos megjegyezni, hogy a parancsok az SQL-kódot kifejezetten a WeKnora eszközök által elvárt pontos JSON-formátumba ágyazzák.

Ellenőrzési felugró ablak (fájl olvasása):

Konfiguráció feltöltésére vonatkozó felugró ablak (1. és 2. lépés):

Feltöltési felhívás a hasznos adatcsomaghoz (példa a 2. csomagra):

Végső végrehajtási felszólítás (Exportálás és újratöltés):

A fent említett biztonsági rések kiküszöbölése érdekében kérjük, győződjön meg arról, hogy rendszere a WeKnora legújabb verziójára van frissítve.

OPSWAT MetaDefender Core, amelyfejlett SBOM(Software of Materials) funkciókkal rendelkezik, lehetővé teszi a szervezetek számára, hogy proaktív megközelítést alkalmazzanak a biztonsági kockázatok kezelésében. A szoftveralkalmazások és azok függőségeinek vizsgálatával MetaDefender Core az ismert sebezhetőségeket, mint például a CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 és CVE-2026-30247 sebezhetőségeket a felsorolt komponensekben. Ez lehetővé teszi a fejlesztői és biztonsági csapatok számára, hogy prioritásokat állapítsanak meg a javítások tekintetében, így csökkentve a potenciális biztonsági kockázatokat, mielőtt azokat rosszindulatú szereplők kihasználhatnák. 

Az alábbi képernyőképen a CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 és CVE-2026-30247 hibákról, amelyeket a MetaDefender Core észlelt az SBOMCore :