Các lỗ hổng bảo mật đã được phát hiện trong framework trí tuệ nhân tạo (AI) mã nguồn mở phổ biến Chainlit, có thể cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, từ đó có thể di chuyển ngang trong một tổ chức dễ bị tổn thương.
Zafran Security cho biết các lỗ hổng nghiêm trọng này, được gọi chung là ChainLeak, có thể bị lạm dụng để làm rò rỉ API keys của môi trường đám mây và đánh cắp các tệp nhạy cảm, hoặc thực hiện các cuộc tấn công server-side request forgery (SSRF) chống lại các máy chủ lưu trữ ứng dụng AI.
Chainlit là một framework để tạo các chatbot đàm thoại. Theo thống kê được chia sẻ bởi Python Software Foundation, gói này đã được tải xuống hơn 220.000 lần trong tuần qua và đã thu hút tổng cộng 7,3 triệu lượt tải xuống cho đến nay.
Chi tiết về hai lỗ hổng
- CVE-2026-22218 (CVSS score: 7.1) - Một lỗ hổng đọc tệp tùy ý trong luồng cập nhật "/project/element" cho phép kẻ tấn công đã xác thực truy cập nội dung của bất kỳ tệp nào mà dịch vụ có thể đọc vào phiên của họ do thiếu xác thực các trường do người dùng kiểm soát.
- CVE-2026-22219 (CVSS score: 8.3) - Một lỗ hổng SSRF trong luồng cập nhật "/project/element" khi được cấu hình với backend lớp dữ liệu SQLAlchemy cho phép kẻ tấn công thực hiện các yêu cầu HTTP tùy ý tới các dịch vụ mạng nội bộ hoặc các điểm cuối metadata đám mây từ máy chủ Chainlit và lưu trữ các phản hồi được truy xuất.
"Hai lỗ hổng Chainlit có thể được kết hợp theo nhiều cách để làm rò rỉ dữ liệu nhạy cảm, leo thang đặc quyền và di chuyển ngang trong hệ thống," các nhà nghiên cứu Gal Zaban và Ido Shani của Zafran cho biết. "Một khi kẻ tấn công có quyền đọc tệp tùy ý trên máy chủ, bảo mật của ứng dụng AI nhanh chóng bắt đầu sụp đổ. Những gì ban đầu dường như là một lỗ hổng bị hạn chế trở thành quyền truy cập trực tiếp vào các bí mật nhạy cảm nhất và trạng thái nội bộ của hệ thống."
Ví dụ, kẻ tấn công có thể vũ khí hóa CVE-2026-22218 để đọc "/proc/self/environ," cho phép họ thu thập thông tin có giá trị như API keys, credentials, và đường dẫn tệp nội bộ có thể được sử dụng để đào sâu hơn vào mạng bị xâm nhập và thậm chí giành quyền truy cập vào mã nguồn ứng dụng. Ngoài ra, nó có thể được sử dụng để làm rò rỉ các tệp cơ sở dữ liệu nếu thiết lập sử dụng SQLAlchemy với một backend SQLite làm lớp dữ liệu của nó.
Sau khi tiết lộ có trách nhiệm vào ngày 23 tháng 11 năm 2025, cả hai lỗ hổng đã được Chainlit khắc phục trong phiên bản 2.9.4 phát hành vào ngày 24 tháng 12 năm 2025.
"Khi các tổ chức nhanh chóng áp dụng các framework AI và các thành phần của bên thứ ba, các lớp lỗ hổng phần mềm đã tồn tại từ lâu đang được nhúng trực tiếp vào hạ tầng AI," Zafran cho biết. "Những framework này giới thiệu các bề mặt tấn công mới và thường ít được hiểu rõ, nơi các lớp lỗ hổng đã biết có thể trực tiếp làm tổn hại các hệ thống được hỗ trợ bởi AI."
Lỗ hổng trong Microsoft MarkItDown MCP Server
Việc công bố này diễn ra khi BlueRock tiết lộ một lỗ hổng trong máy chủ MarkItDown Model Context Protocol (MCP) của Microsoft, được đặt tên là MCP fURI, cho phép gọi tùy ý các tài nguyên URI, khiến các tổ chức gặp rủi ro về leo thang đặc quyền, SSRF và tấn công rò rỉ dữ liệu. Lỗ hổng này ảnh hưởng đến máy chủ khi chạy trong một phiên bản Amazon Web Services (AWS) EC2 sử dụng IDMSv1.
"Lỗ hổng này cho phép kẻ tấn công thực thi công cụ Markitdown MCP convert_to_markdown để gọi một uniform resource identifier (URI) tùy ý," BlueRock cho biết. "Việc thiếu bất kỳ giới hạn nào đối với URI cho phép bất kỳ người dùng, agent hoặc kẻ tấn công nào gọi công cụ đó truy cập bất kỳ tài nguyên HTTP hoặc tệp nào."
"Khi cung cấp một URI cho máy chủ Markitdown MCP, điều này có thể được sử dụng để truy vấn instance metadata của máy chủ. Người dùng sau đó có thể lấy credentials để truy cập instance nếu có một role được liên kết, cấp cho bạn quyền truy cập vào tài khoản AWS, bao gồm API keys và secret keys."
Công ty bảo mật AI agentic này cho biết phân tích của họ về hơn 7.000 máy chủ MCP cho thấy hơn 36,7% trong số đó có khả năng bị lộ các lỗ hổng SSRF tương tự. Để giảm thiểu rủi ro do vấn đề này gây ra, khuyến nghị sử dụng IMDSv2 để bảo vệ chống lại các cuộc tấn công SSRF, triển khai chặn IP riêng tư, hạn chế quyền truy cập vào các dịch vụ metadata và tạo một allowlist để ngăn chặn data exfiltration.
