Zpět na domů

Zranitelnosti Spring AI ONNX: injekce a podměna modelů

V Spring AI byly objeveny SQL- a JSONPath-injekce, v ONNX — obcházení kontroly modelů. Materiál popisuje rizika, místa použití a kontrolní seznam pro týmy informační bezpečnosti. Je nutná inventarizace AI stacku a přísné procesy.

Spring AI a ONNX: zranitelnosti v AI frameworkách pod hrozbou
Advertisement 728x90

Kritické bezpečnostní chyby v Spring AI a ONNX: SQL injekce, JSONPath a podvržení modelů

V březnu 2026 byly zjištěny kritické bezpečnostní chyby ve Spring AI a ONNX Runtime. Spring AI je náchylný ke SQL injekcím při integraci s databázemi, jako je MariaDB, a k JSONPath injekcím při zpracování uživatelských dat. U ONNX je možný obcházení ověření důvěryhodnosti při načítání modelů prostřednictvím onnx.hub.load, což umožňuje podvrhnout artefakty. Tyto bezpečnostní mezery postihují reálné systémy umělé inteligence, kde modely interagují s uživatelskými daty i infrastrukturou.

Podrobnosti o chybách v Spring AI

Spring AI integruje LLM a modely do aplikací na platformě Spring, včetně přístupu k databázím. Hlavní problémy:

  • SQL injekce: Vzniká při tvorbě dotazů do DB bez sanitace vstupu. Útočník může vložit škodlivý kód, extrahovat protokoly dotazů, historii rozhovorů nebo profily uživatelů.
  • JSONPath injekce: Nezpracovaný uživatelský vstup umožňuje manipulaci s daty v multiuživatelských scénářích – čtení nebo úprava informací ostatních klientů.

Rizika se zvyšují v systémech s sdílenými daty: chaty, generativní obsah, CRM integrace. Zranitelné verze vyžadují okamžité aktualizace.

Google AdInline article slot

Problémy s ONNX a podvržením modelů

ONNX poskytuje křížově kompatibilní formát modelů a jejich načítání přes centrální huby. Chyba umožňuje obejít kontrolu důvěryhodnosti při použití onnx.hub.load, kdy je možné nahradit škodlivým .onnx souborem.

Následky závisí na architektuře:

  • Nahrazení váh změní logiku modelu a způsobí neočekávané chování.
  • V plynulostech s konvertory je možné dosáhnout RCE prostřednictvím zpracovatelů.

Modely v ONNX jsou podobné kontejnerům: jejich načítání z nezabezpečených zdrojů přináší systémová rizika.

Google AdInline article slot

Kde se tyto frameworky skrývají v infrastruktuře

Spring AI a ONNX často fungují bez centralizovaného řízení.

Typické použití Spring AI:

  • Interní asistenty pro vyhledávání dokumentů a CRM nápovědu.
  • Prototypy, které přešly do produkce.
  • Integrace Spring s externími LLM.

Použití ONNX:

Google AdInline article slot
  • Doporučovací a scoringové služby.
  • MLOps plynulosti pro standardizaci frameworků.
  • Produkty dodavatelů s vestavěnými modely.

Inventarizace odhaluje takové případy – od ML týmů až po balíčková řešení.

Doporučení pro minimalizaci rizik

Pro bezpečnostní týmy a DevOps: izolovat AI stack do samostatného bezpečnostního kontextu.

  • Inventarizace:

- Sbírat seznam frameworků, vlastníků, dat a prostředí (produkce/testování).

- Identifikovat rizika: přístup k DB, multiuživatelský režim.

  • Aktualizace a pevné nastavení:

- Připravit patche pro Spring AI, přidat testy na injekce.

- U ONNX: bílá lista zdrojů, vypnutí automatického načítání.

  • Procesy:

- Zavést revize pro AI projekty na úrovni CRM/billingu.

- Souhlasit o strategických komponentách (huby, proxy LLM).

Kontrolní seznam akcí za týden

Spring AI:

  • Skenovat repozitáře a závislosti.
  • Zkontrolovat přístup k datům a multiuživatelské scénáře.
  • Aktualizovat verze, implementovat automatizované testy na SQL/JSONPath.

ONNX:

  • Najít použití onnx.hub.load a automatické aktualizace modelů.
  • Omezit zdroje na bílou listu.
  • Požádat dodavatele o patche a protokoly validace.

Společné:

  • Přidat AI frameworky do monitoringu CVE.
  • Jmenovat odpovědného za AI stack.
  • Dokumentovat požadavky v DevSecOps.

Co je důležité

  • SQL a JSONPath injekce v Spring AI ohrožují únik uživatelských dat v DB a multiuživatelských systémech.
  • Obcházení ověření důvěryhodnosti v ONNX umožňuje podvrhnout modely, což může vést k RCE.
  • AI frameworky vyžadují inventarizaci a oddělený bezpečnostní kontur.
  • Přechod AI projektů do produkce vyžaduje kompletní bezpečnostní revizi.
  • Monitorování CVE pro AI stack je samostatná role v týmu.

— Editorial Team

Advertisement 728x90

Číst dál