Kritické bezpečnostní chyby v Spring AI a ONNX: SQL injekce, JSONPath a podvržení modelů
V březnu 2026 byly zjištěny kritické bezpečnostní chyby ve Spring AI a ONNX Runtime. Spring AI je náchylný ke SQL injekcím při integraci s databázemi, jako je MariaDB, a k JSONPath injekcím při zpracování uživatelských dat. U ONNX je možný obcházení ověření důvěryhodnosti při načítání modelů prostřednictvím onnx.hub.load, což umožňuje podvrhnout artefakty. Tyto bezpečnostní mezery postihují reálné systémy umělé inteligence, kde modely interagují s uživatelskými daty i infrastrukturou.
Podrobnosti o chybách v Spring AI
Spring AI integruje LLM a modely do aplikací na platformě Spring, včetně přístupu k databázím. Hlavní problémy:
- SQL injekce: Vzniká při tvorbě dotazů do DB bez sanitace vstupu. Útočník může vložit škodlivý kód, extrahovat protokoly dotazů, historii rozhovorů nebo profily uživatelů.
- JSONPath injekce: Nezpracovaný uživatelský vstup umožňuje manipulaci s daty v multiuživatelských scénářích – čtení nebo úprava informací ostatních klientů.
Rizika se zvyšují v systémech s sdílenými daty: chaty, generativní obsah, CRM integrace. Zranitelné verze vyžadují okamžité aktualizace.
Problémy s ONNX a podvržením modelů
ONNX poskytuje křížově kompatibilní formát modelů a jejich načítání přes centrální huby. Chyba umožňuje obejít kontrolu důvěryhodnosti při použití onnx.hub.load, kdy je možné nahradit škodlivým .onnx souborem.
Následky závisí na architektuře:
- Nahrazení váh změní logiku modelu a způsobí neočekávané chování.
- V plynulostech s konvertory je možné dosáhnout RCE prostřednictvím zpracovatelů.
Modely v ONNX jsou podobné kontejnerům: jejich načítání z nezabezpečených zdrojů přináší systémová rizika.
Kde se tyto frameworky skrývají v infrastruktuře
Spring AI a ONNX často fungují bez centralizovaného řízení.
Typické použití Spring AI:
- Interní asistenty pro vyhledávání dokumentů a CRM nápovědu.
- Prototypy, které přešly do produkce.
- Integrace Spring s externími LLM.
Použití ONNX:
- Doporučovací a scoringové služby.
- MLOps plynulosti pro standardizaci frameworků.
- Produkty dodavatelů s vestavěnými modely.
Inventarizace odhaluje takové případy – od ML týmů až po balíčková řešení.
Doporučení pro minimalizaci rizik
Pro bezpečnostní týmy a DevOps: izolovat AI stack do samostatného bezpečnostního kontextu.
- Inventarizace:
- Sbírat seznam frameworků, vlastníků, dat a prostředí (produkce/testování).
- Identifikovat rizika: přístup k DB, multiuživatelský režim.
- Aktualizace a pevné nastavení:
- Připravit patche pro Spring AI, přidat testy na injekce.
- U ONNX: bílá lista zdrojů, vypnutí automatického načítání.
- Procesy:
- Zavést revize pro AI projekty na úrovni CRM/billingu.
- Souhlasit o strategických komponentách (huby, proxy LLM).
Kontrolní seznam akcí za týden
Spring AI:
- Skenovat repozitáře a závislosti.
- Zkontrolovat přístup k datům a multiuživatelské scénáře.
- Aktualizovat verze, implementovat automatizované testy na SQL/JSONPath.
ONNX:
- Najít použití
onnx.hub.loada automatické aktualizace modelů. - Omezit zdroje na bílou listu.
- Požádat dodavatele o patche a protokoly validace.
Společné:
- Přidat AI frameworky do monitoringu CVE.
- Jmenovat odpovědného za AI stack.
- Dokumentovat požadavky v DevSecOps.
Co je důležité
- SQL a JSONPath injekce v Spring AI ohrožují únik uživatelských dat v DB a multiuživatelských systémech.
- Obcházení ověření důvěryhodnosti v ONNX umožňuje podvrhnout modely, což může vést k RCE.
- AI frameworky vyžadují inventarizaci a oddělený bezpečnostní kontur.
- Přechod AI projektů do produkce vyžaduje kompletní bezpečnostní revizi.
- Monitorování CVE pro AI stack je samostatná role v týmu.
— Editorial Team
Zatím žádné komentáře.