サイバーニュース.jp

世界のサイバーなニュースを配信

Chainlit AIフレームワークに高深刻度な脆弱性「ChainLeak」が発覚、データ窃盗やSSRFの危険性

カテゴリ:

概要:AIフレームワークの脆弱性がもたらす脅威

人気のオープンソースAIフレームワークChainlitにおいて、データ窃盗やサーバーサイドリクエストフォージェリ(SSRF)攻撃を可能にする高深刻度なセキュリティ脆弱性が発見されました。サイバーセキュリティ企業のZafran Securityは、これらの脆弱性を総称して「ChainLeak」と名付け、攻撃者がクラウド環境のAPIキーを盗んだり、機密ファイルを窃取したり、AIアプリケーションをホストするサーバーに対してSSRF攻撃を実行する可能性があると警告しています。

会話型チャットボットの作成に用いられるChainlitは、Python Software Foundationの統計によると過去1週間で22万回以上ダウンロードされており、これまでの総ダウンロード数は730万回に上るなど、その普及度の高さから影響が懸念されます。

Chainlitの主要な脆弱性

Zafran Securityによって報告された2つの脆弱性の詳細は以下の通りです。

  • CVE-2026-22218 (CVSSスコア: 7.1) – 任意ファイル読み取り脆弱性:
    「/project/element」の更新フローにおいて、ユーザーが制御するフィールドの検証が不足しているため、認証された攻撃者がサービスによって読み取り可能な任意のファイルの内容にアクセスできます。これにより、攻撃者は自分のセッション内で機密情報を含むファイルを閲覧することが可能になります。
  • CVE-2026-22219 (CVSSスコア: 8.3) – SSRF脆弱性:
    SQLAlchemyデータ層バックエンドで構成されている場合に、「/project/element」の更新フローに存在するSSRF脆弱性です。攻撃者はChainlitサーバーから内部ネットワークサービスやクラウドメタデータエンドポイントへの任意のHTTPリクエストを実行し、その応答を保存することができます。

複合的な攻撃経路とその影響

Zafranの研究者Gal Zaban氏とIdo Shani氏は、「2つのChainlitの脆弱性は、機密データの漏洩、特権昇格、およびシステム内でのラテラルムーブメントを可能にするために、複数の方法で組み合わせることができます」と述べています。

攻撃者がサーバー上で任意ファイル読み取りアクセス権を獲得すると、AIアプリケーションのセキュリティは急速に崩壊します。当初は限定的な欠陥に見えるものが、システムの最も機密性の高い秘密や内部状態への直接アクセスを許してしまうのです。

具体的には:

  • CVE-2026-22218を悪用して「/proc/self/environ」を読み取ることにより、APIキー、クレデンシャル、内部ファイルパスなどの貴重な情報を取得し、侵害されたネットワークの奥深くへと侵入する足がかりを築くことができます。
  • ChainlitのセットアップでSQLAlchemyとSQLiteバックエンドがデータ層として使用されている場合、データベースファイルを漏洩させるために利用される可能性もあります。
  • もしChainlitがIMDSv1が有効なAmazon Web Services (AWS) EC2インスタンスにデプロイされている場合、SSRF脆弱性を悪用してリンクローカルアドレス(169.254.169[.]254)にアクセスし、ロールエンドポイントを取得することで、クラウド環境内でのラテラルムーブメントが可能になります。

これらの脆弱性は、2025年11月23日の責任ある開示後、2025年12月24日にリリースされたChainlitバージョン2.9.4で修正されました。ユーザーは速やかに最新バージョンへのアップデートが推奨されます。

広がるAIフレームワークの脆弱性問題

Zafranは、「組織がAIフレームワークやサードパーティコンポーネントを急速に採用するにつれて、長年のソフトウェア脆弱性クラスがAIインフラストラクチャに直接組み込まれています」と指摘しています。これらのフレームワークは、新しく、そしてしばしば十分に理解されていない攻撃対象領域を導入しており、既知の脆弱性クラスがAIを活用したシステムを直接危険にさらす可能性があります。

Microsoft MarkItDown MCP Serverにも類似のSSRF脆弱性

Chainlitの事例に加え、BlueRockはMicrosoftのMarkItDown Model Context Protocol (MCP) サーバーにも「MCP fURI」と呼ばれる類似のSSRF脆弱性を開示しました。この脆弱性は、任意のURIリソースの呼び出しを可能にし、組織を特権昇格、SSRF、データ漏洩攻撃に晒す可能性があります。

この欠陥は、サーバーがAmazon Web Services (AWS) EC2インスタンスでIMDSv1を使用して実行されている場合に影響を及ぼします。BlueRockは、「この脆弱性により、攻撃者はMarkitdown MCPツールのconvert_to_markdownを実行して任意のURI(Uniform Resource Identifier)を呼び出すことができます」と述べています。「URIに境界がないため、ツールを呼び出すあらゆるユーザー、エージェント、または攻撃者が任意のHTTPまたはファイルリソースにアクセスできます。」

これにより、Markitdown MCPサーバーにURIを提供することで、サーバーのインスタンスメタデータを照会することが可能になります。攻撃者は、ロールが関連付けられている場合にインスタンスのクレデンシャルを取得し、アクセスキーとシークレットキーを含むAWSアカウントへのアクセス権を得ることができるとされています。

エージェントAIセキュリティ企業であるBlueRockは、7,000以上のMCPサーバーを分析した結果、その36.7%以上が同様のSSRF脆弱性にさらされている可能性が高いと発表しました。

推奨される対策

このような脆弱性からシステムを保護するために、以下の対策が推奨されます。

  • IMDSv2を使用してSSRF攻撃に対するセキュリティを強化する。
  • プライベートIPブロッキングを実装する。
  • メタデータサービスへのアクセスを制限する。
  • データ漏洩を防ぐために許可リスト(allowlist)を作成する。

元記事: https://thehackernews.com/2026/01/chainlit-ai-framework-flaws-enable-data.html

投稿をさらに読み込む