Powrót do strony głównej

Podatności Spring AI ONNX: wstrzykiwania i podstawianie modeli

W Spring AI wykryto wstrzykiwania SQL i JSONPath, w ONNX — obejście weryfikacji modeli. Materiał opisuje ryzyka, miejsca zastosowania i listę kontrolną dla zespołów ds. bezpieczeństwa informacji. Konieczna inwentaryzacja stosu AI i surowe procesy.

Spring AI i ONNX: luki w frameworkach AI pod zagrożeniem
Advertisement 728x90

Krytyczne luki w Spring AI i ONNX: SQL, JSONPath i podmiana modeli

W marcu 2026 roku wykryto krytyczne luki bezpieczeństwa w Spring AI oraz ONNX Runtime. Spring AI jest narażony na ataki typu SQL Injection podczas integracji z bazami danych, takimi jak MariaDB, a także na iniekcje JSONPath przy przetwarzaniu danych użytkowników. W przypadku ONNX możliwe jest obejście mechanizmu sprawdzania zaufania podczas ładowania modeli przez onnx.hub.load, co pozwala na podmianę artefaktów. Te luki dotykają rzeczywistych systemów AI, gdzie modele interakcjonują z danymi użytkowników i infrastrukturą.

Szczegóły luk w Spring AI

Spring AI integruje modele LLM i inne modele w aplikacjach Spring, w tym dostęp do baz danych. Głównymi zagrożeniami są:

  • SQL Injection: występuje przy tworzeniu zapytań do bazy danych bez odpowiedniej weryfikacji danych. Atakujący może wgrać szkodliwy kod, wyeksportować logi zapytań, historie rozmów lub profile użytkowników.
  • JSONPath Injection: brak filtrowania danych wejściowych pozwala manipulować danymi w scenariuszach wielu użytkowników, czytając lub modyfikując informacje innych klientów.

Ryzyko wzrasta w systemach z wspólnymi danymi: czaty, generatory treści, integracje z CRM. Wersje podatne wymagają natychmiastowego uaktualnienia.

Google AdInline article slot

Problemy z ONNX i podmiana modeli

ONNX zapewnia format modeli wspierający różne frameworki i możliwość ładowania z hubów. Usterka umożliwia obejście sprawdzania zaufania podczas używania onnx.hub.load, pozwalając na wgranie szkodliwego pliku .onnx.

Skutki zależą od architektury systemu:

  • Podmiana wag zmienia logikę działania modelu, prowadząc do nieprzewidywalnego zachowania.
  • W pipeline’ach z konwerterami możliwy jest RCE poprzez złośliwe obsługiwane procedury.

Modele w formacie ONNX to artefakty podobne do kontenerów — ich ładowanie z niezaufanych źródeł wiąże się z poważnymi ryzykami systemowymi.

Google AdInline article slot

Gdzie ukrywają się te frameworki w infrastrukturze

Spring AI i ONNX często wykorzystywane są bez centralnego zarządzania.

Typowe zastosowania Spring AI:

  • Wewnętrzni asystenci do wyszukiwania dokumentów i podpowiedzi w CRM.
  • Prototypy, które przekształciły się w produkcyjne rozwiązania.
  • Integracje Spring z zewnętrznymi modelami LLM.

Zastosowania ONNX:

Google AdInline article slot
  • Serwisy rekomendacyjne i scoringowe.
  • Pipeline’y MLOps do unifikacji frameworków.
  • Produkty dostawców z wbudowanymi modelami.

Inwentaryzacja odkrywa takie przypadki – od zespołów ML po gotowe rozwiązania komercyjne.

Zalecenia minimalizujące ryzyko

Dla zespołów IT i DevOps: wydzielić stack AI w osobny kontur bezpieczeństwa.

  • Inwentaryzacja:

- Zebrać listę frameworków, właścicieli, danych i środowisk (produkcyjne/testowe).

- Określić ryzyka: dostęp do bazy danych, tryb wielu użytkowników.

  • Aktualizacje i zabezpieczenia:

- Naprawić Spring AI, dodać testy na iniekcje.

- Dla ONNX: biała lista źródeł, wyłączenie automatycznego ładowania.

  • Procesy:

- Wprowadzić recenzję projektów AI na poziomie CRM/billingu.

- Zatwierdzić strategię dla kluczowych komponentów (hub’y, proxy LLM).

Checklist akcji na tydzień

Spring AI:

  • Skanowanie repozytoriów i zależności.
  • Sprawdzenie dostępu do danych i scenariuszy wielu użytkowników.
  • Aktualizacja wersji, wdrożenie testów automatycznych SQL/JSONPath.

ONNX:

  • Znalezienie onnx.hub.load i automatycznych aktualizacji modeli.
  • Ograniczenie źródeł do białej listy.
  • Wymaganie od dostawców patchy i logi walidacji.

Wspólne:

  • Dodanie frameworków AI do monitoringu CVE.
  • Przypisanie odpowiedzialnego za stack AI.
  • Dokumentowanie wymagań w DevSecOps.

Co ważne

  • SQL i JSONPath injection w Spring AI stanowi zagrożenie utraty danych użytkowników w bazach danych i systemach wieloosobowych.
  • Obejście sprawdzania zaufania w ONNX pozwala na podmianę modeli, co może prowadzić do RCE.
  • Frameworki AI wymagają inwentaryzacji i wydzielonego konturu bezpieczeństwa.
  • Przejście projektów AI do środowiska produkcyjnego wymaga kompleksowej oceny bezpieczeństwa.
  • Monitorowanie CVE dla stacków AI to osobna rola w zespole.

— Editorial Team

Advertisement 728x90

Czytaj dalej