Vulnerabilidades Críticas en Spring AI y ONNX: Inyección SQL, Falla en JSONPath y Sustitución de Modelos
En marzo de 2026, se descubrieron vulnerabilidades críticas en Spring AI y ONNX Runtime. Spring AI es susceptible a inyección SQL cuando se integra con bases de datos como MariaDB, y a inyección de JSONPath durante el procesamiento de datos de usuarios. En ONNX, se puede saltar la verificación de confianza al cargar modelos mediante onnx.hub.load, lo que permite sustituir modelos maliciosos. Estas fallas afectan sistemas reales de IA donde los modelos interactúan con datos de usuarios e infraestructura.
Detalles de la Vulnerabilidad en Spring AI
Spring AI integra LLMs y modelos en aplicaciones Spring, incluyendo acceso a bases de datos. Los problemas clave incluyen:
- Inyección SQL: Ocurre cuando las consultas a la base de datos se construyen sin sanitización de entradas. Los atacantes pueden inyectar código malicioso para extraer registros de consultas, historiales de chat o perfiles de usuario.
- Inyección de JSONPath: Entradas no filtradas permiten manipular datos en escenarios multiusuario, facilitando la lectura o modificación de información de otros clientes.
Los riesgos aumentan en entornos compartidos de datos: sistemas de chat, generación de contenido, integraciones con CRM. Las versiones afectadas requieren actualización inmediata.
Riesgos de Sustitución de Modelos en ONNX
ONNX ofrece un formato de modelo compatible entre marcos y carga basada en hub. Una vulnerabilidad permite saltar las comprobaciones de confianza durante onnx.hub.load, permitiendo desplegar archivos .onnx maliciosos.
Las consecuencias dependen de la pila tecnológica:
- Reemplazo de pesos del modelo altera la lógica, causando comportamientos anómalos.
- Pipelines con convertidores podrían permitir ejecución remota de código (RCE) mediante explotación de manejadores.
Los modelos ONNX son artefactos similares a contenedores: cargarlos desde fuentes no confiables introduce riesgos sistémicos.
Dónde Se Esconden Estos Marcos en la Infraestructura
Spring AI y ONNX suelen desplegarse sin seguimiento centralizado.
Casos de Uso Comunes de Spring AI:
- Asistentes internos para búsqueda de documentos y sugerencias en CRM.
- Prototipos que evolucionaron a producción.
- Integraciones de Spring con LLMs externos.
Aplicaciones de ONNX:
- Servicios de recomendación y puntuación.
- Pipelines MLOps para estandarización de frameworks.
- Productos de proveedores con modelos incrustados.
Auditorías de inventario revelan estos despliegues en equipos de ML y soluciones listas para usar.
Recomendaciones para Mitigación de Riesgos
Para equipos de seguridad y DevOps: aísle la pila de IA en una zona de seguridad dedicada.
- Inventario:
- Compile una lista de marcos, dueños, tipos de datos y entornos (producción/pruebas).
- Identifique riesgos: acceso a bases de datos, modo multiusuario.
- Actualizaciones y Refuerzo:
- Actualice Spring AI y agregue pruebas de inyección.
- Para ONNX: establezca una lista blanca de fuentes confiables; desactive la carga automática.
- Procesos:
- Implemente revisiones de proyectos de IA a nivel de CRM o facturación.
- Alinee componentes estratégicos (hubs, proxies de LLM).
Lista de Acción de Una Semana
Spring AI:
- Escanee repositorios y dependencias.
- Audite accesos a datos y escenarios multiusuario.
- Actualice versiones e implemente pruebas automatizadas de SQL/JSONPath.
ONNX:
- Localice
onnx.hub.loady configuraciones de actualización automática. - Restrinja fuentes a una lista blanca.
- Solicite parches y registros de validación de proveedores.
General:
- Agregue marcos de IA a monitoreo de CVE.
- Asigne un responsable de la pila de IA.
- Documente requisitos en flujos DevSecOps.
Conclusiones Clave
- La inyección SQL y de JSONPath en Spring AI amenaza la exposición de datos de usuarios en bases de datos y sistemas multiusuario.
- Saltar las comprobaciones de confianza en ONNX permite sustitución de modelos, potencialmente llevando a RCE.
- Los marcos de IA requieren inventario y segmentación de seguridad dedicada.
- Mover proyectos de IA a producción exige revisión completa de seguridad.
- Monitorear CVEs para pilas de IA debe ser un rol distinto en el equipo.
— Editorial Team
Aún no hay comentarios.