Krytyczne luki w Spring AI i ONNX: SQL, JSONPath i podmiana modeli
W marcu 2026 roku wykryto krytyczne luki bezpieczeństwa w Spring AI oraz ONNX Runtime. Spring AI jest narażony na ataki typu SQL Injection podczas integracji z bazami danych, takimi jak MariaDB, a także na iniekcje JSONPath przy przetwarzaniu danych użytkowników. W przypadku ONNX możliwe jest obejście mechanizmu sprawdzania zaufania podczas ładowania modeli przez onnx.hub.load, co pozwala na podmianę artefaktów. Te luki dotykają rzeczywistych systemów AI, gdzie modele interakcjonują z danymi użytkowników i infrastrukturą.
Szczegóły luk w Spring AI
Spring AI integruje modele LLM i inne modele w aplikacjach Spring, w tym dostęp do baz danych. Głównymi zagrożeniami są:
- SQL Injection: występuje przy tworzeniu zapytań do bazy danych bez odpowiedniej weryfikacji danych. Atakujący może wgrać szkodliwy kod, wyeksportować logi zapytań, historie rozmów lub profile użytkowników.
- JSONPath Injection: brak filtrowania danych wejściowych pozwala manipulować danymi w scenariuszach wielu użytkowników, czytając lub modyfikując informacje innych klientów.
Ryzyko wzrasta w systemach z wspólnymi danymi: czaty, generatory treści, integracje z CRM. Wersje podatne wymagają natychmiastowego uaktualnienia.
Problemy z ONNX i podmiana modeli
ONNX zapewnia format modeli wspierający różne frameworki i możliwość ładowania z hubów. Usterka umożliwia obejście sprawdzania zaufania podczas używania onnx.hub.load, pozwalając na wgranie szkodliwego pliku .onnx.
Skutki zależą od architektury systemu:
- Podmiana wag zmienia logikę działania modelu, prowadząc do nieprzewidywalnego zachowania.
- W pipeline’ach z konwerterami możliwy jest RCE poprzez złośliwe obsługiwane procedury.
Modele w formacie ONNX to artefakty podobne do kontenerów — ich ładowanie z niezaufanych źródeł wiąże się z poważnymi ryzykami systemowymi.
Gdzie ukrywają się te frameworki w infrastrukturze
Spring AI i ONNX często wykorzystywane są bez centralnego zarządzania.
Typowe zastosowania Spring AI:
- Wewnętrzni asystenci do wyszukiwania dokumentów i podpowiedzi w CRM.
- Prototypy, które przekształciły się w produkcyjne rozwiązania.
- Integracje Spring z zewnętrznymi modelami LLM.
Zastosowania ONNX:
- Serwisy rekomendacyjne i scoringowe.
- Pipeline’y MLOps do unifikacji frameworków.
- Produkty dostawców z wbudowanymi modelami.
Inwentaryzacja odkrywa takie przypadki – od zespołów ML po gotowe rozwiązania komercyjne.
Zalecenia minimalizujące ryzyko
Dla zespołów IT i DevOps: wydzielić stack AI w osobny kontur bezpieczeństwa.
- Inwentaryzacja:
- Zebrać listę frameworków, właścicieli, danych i środowisk (produkcyjne/testowe).
- Określić ryzyka: dostęp do bazy danych, tryb wielu użytkowników.
- Aktualizacje i zabezpieczenia:
- Naprawić Spring AI, dodać testy na iniekcje.
- Dla ONNX: biała lista źródeł, wyłączenie automatycznego ładowania.
- Procesy:
- Wprowadzić recenzję projektów AI na poziomie CRM/billingu.
- Zatwierdzić strategię dla kluczowych komponentów (hub’y, proxy LLM).
Checklist akcji na tydzień
Spring AI:
- Skanowanie repozytoriów i zależności.
- Sprawdzenie dostępu do danych i scenariuszy wielu użytkowników.
- Aktualizacja wersji, wdrożenie testów automatycznych SQL/JSONPath.
ONNX:
- Znalezienie
onnx.hub.loadi automatycznych aktualizacji modeli. - Ograniczenie źródeł do białej listy.
- Wymaganie od dostawców patchy i logi walidacji.
Wspólne:
- Dodanie frameworków AI do monitoringu CVE.
- Przypisanie odpowiedzialnego za stack AI.
- Dokumentowanie wymagań w DevSecOps.
Co ważne
- SQL i JSONPath injection w Spring AI stanowi zagrożenie utraty danych użytkowników w bazach danych i systemach wieloosobowych.
- Obejście sprawdzania zaufania w ONNX pozwala na podmianę modeli, co może prowadzić do RCE.
- Frameworki AI wymagają inwentaryzacji i wydzielonego konturu bezpieczeństwa.
- Przejście projektów AI do środowiska produkcyjnego wymaga kompleksowej oceny bezpieczeństwa.
- Monitorowanie CVE dla stacków AI to osobna rola w zespole.
— Editorial Team
Brak komentarzy.