Le piattaforme di intelligenza artificiale non sono immuni dai rischi per la sicurezza: Unit 515 individua diverse vulnerabilità RCE di gravità critica in WeKnora

Le piattaforme di IA stanno rapidamente diventando parte integrante dei moderni flussi di lavoro di produzione, ma l'innovazione non elimina i rischi per la sicurezza. Proprio come le applicazioni tradizionali, le piattaforme native per l'IA rimangono esposte a classi di vulnerabilità ben note e, in molti casi, introducono nuove superfici di attacco man mano che l'orchestrazione dei modelli di linguaggio di grandi dimensioni (LLM), l'acquisizione dei documenti, l'integrazione di strumenti esterni e i servizi di backend diventano sempre più interconnessi. Poiché queste piattaforme assumono funzioni sempre più sensibili dal punto di vista della sicurezza, le carenze nell'implementazione possono rapidamente trasformarsi in problemi di sicurezza di grave entità.

Tencent WeKnora è un framework open source basato su modelli di linguaggio di grandi dimensioni (LLM) per la comprensione approfondita dei documenti e il recupero semantico, progettato per aiutare le organizzazioni a creare basi di conoscenza e agenti di intelligenza artificiale in grado di generare risposte contestualizzate a partire da dati complessi ed eterogenei. Combinando l'elaborazione dei documenti, il recupero, i flussi di lavoro guidati dagli agenti e l'integrazione con funzionalità esterne, WeKnora consente potenti operazioni di gestione della conoscenza basate sull'IA, ma crea anche confini di fiducia sensibili dal punto di vista della sicurezza che richiedono un'attenta valutazione quando si collegano a sistemi di backend e percorsi di esecuzione.

Le vulnerabilità individuate in WeKnora erano distribuite su diverse aree funzionali, anziché concentrarsi in un unico componente. I problemi scoperti da Quan includevano l'esecuzione di codice remoto, la falsificazione delle richieste lato server e il controllo degli accessi compromesso, con un impatto che andava dall'accesso alle risorse interne alla compromissione tra tenant e all'esecuzione di codice backend. Da un punto di vista difensivo, la ricerca ha evidenziato una preoccupazione architettonica più ampia: quando ai flussi di lavoro di IA è consentito generare query, richiamare strumenti o elaborare input influenzati dagli aggressori oltre i confini di fiducia, difetti di implementazione relativamente piccoli possono degenerare in conseguenze di sicurezza di grande impatto.

Le vulnerabilità individuate sono riassunte di seguito:

• CVE-2026-30860: Esecuzione di codice remoto tramite aggiramento dell'iniezione SQL nello strumento di interrogazione del database AI
• CVE-2026-30861: Esecuzione di codice remoto tramite iniezione di comandi nella convalida della configurazione di MCP Stdio
• CVE-2026-30859: controllo degli accessi non corretto che comporta l'esposizione dei dati tra tenant
• CVE-2026-30858: DNS Rebinding in web_fetch che consente attacchi SSRF verso risorse interne
• CVE-2026-30857: Clonazione non autorizzata della Knowledge Base tra tenant
• CVE-2026-30856: Dirottamento dell'esecuzione di strumenti tramite denominazione ambigua nel client MCP e iniezione indiretta di prompt
• CVE-2026-30855: Vulnerabilità nel controllo degli accessi nella gestione dei tenant
• CVE-2026-30247: SSRF tramite reindirizzamento

Nel loro insieme, questi risultati dimostrano che le piattaforme native per l'IA devono essere valutate con lo stesso rigore applicato a qualsiasi stack software moderno, in particolare nei casi in cui gli input controllati dall'utente o generati dal modello possano influenzare il comportamento del backend in contesti sensibili dal punto di vista della sicurezza.

Tra le otto vulnerabilità rese note,la CVE-2026-30860si distingue come una delle più rilevanti dal punto di vista tecnico. Il problema ha interessato la funzionalità di interrogazione del database AI di WeKnora, in cui le richieste in linguaggio naturale potevano essere tradotte in query SQL ed eseguite su una fonte di dati PostgreSQL collegata. In questo flusso di lavoro, l'applicazione ha tentato di imporre un confine difensivo attraverso l'analisi sintattica SQL e la convalida basata su AST prima di consentire l'esecuzione. Tuttavia, l'implementazione di tale logica di convalida era incompleta. 

Il percorso di esecuzione vulnerabile può essere descritto con precisione:

• All'agente IA viene inviata una richiesta da parte di un utente che richiede dati da una base di conoscenza collegata.
• L'agente converte tale richiesta in un codice SQL destinato alle tabelle gestite da PostgreSQL.
• WeKnora analizza il codice SQL utilizzando pg_query_go e invia l'albero di analisi alle funzioni validateSelectStmt e validateNode.
• Se la convalida ha esito positivo, l'istruzione risultante viene eseguita con i privilegi di database configurati per l'applicazione.

Questa architettura può funzionare solo se la scansione dell'AST è completa. Un semplice filtraggio delle parole chiave non è sufficiente, poiché PostgreSQL consente di incorporare chiamate di funzione pericolose all'interno di diversi tipi di espressioni e strutture contenitore.

Un albero di sintassi astratta (AST) è una rappresentazione strutturata della logica del codice sorgente. In WeKnora, il parser ufficiale di PostgreSQL, tramite pg_query_go, viene utilizzato per trasformare le query SQL grezze in un albero di nodi. Ciò consente all'applicazione di esaminare i componenti strutturali di una query, quali i riferimenti alle tabelle, le chiamate alle funzioni e le espressioni, anziché affidarsi alla corrispondenza di pattern o alle espressioni regolari, che spesso possono essere aggirate.

In questo modello, la sicurezza dipende dalla capacità della logica di convalida di attraversare completamente l'AST e di ispezionare ogni nodo figlio rilevante. Se l'attraversamento è incompleto, potrebbero esserci costrutti pericolosi nascosti all'interno di contenitori di espressioni che il validatore non raggiunge mai.

WeKnora ha implementato un modello di difesa a più livelli che includeva diversi controlli di sicurezza: verifiche di validità degli input, analisi sintattica SQL, applicazione della regola "singola istruzione", restrizioni "solo SELECT", convalida delle espressioni ricorsive, controlli di accesso alle tabelle e blocco delle funzioni pericolose. Presi singolarmente, questi livelli erano sensati. Il fallimento si è verificato nel punto in cui tali protezioni dipendevano l'una dall'altra. In particolare, la fase di ispezione ricorsiva presupponeva una copertura completa delle espressioni figlie, ma l'implementazione precedente alla versione 0.2.12 non soddisfaceva pienamente tale presupposto.

L'implementazione della funzione `validateNode` in WeKnora v0.2.11 gestiva un elenco ampio ma incompleto di tipi di nodi AST di PostgreSQL. Essa procedeva in modo ricorsivo attraverso tipi di nodi quali AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy e List. Tuttavia, dopo quei rami gestiti esplicitamente, la funzione restituiva nil. Qualsiasi nodo contenitore che non fosse incluso in quella logica di attraversamento diventava di fatto un punto cieco, anche se conteneva ancora espressioni figlie che richiedevano la convalida.

A grandi linee, il flusso di lavoro dell'exploit prevedeva l'inserimento di chiamate a funzioni PostgreSQL pericolose attraverso una falla nella convalida dell'AST per raggiungere primitive in grado di consentire l'accesso ai file, l'abuso delle impostazioni di configurazione e, infine, l'esecuzione di codice remoto. Il successo dell'exploit dipendeva dalla capacità di trasformare il modello in un intermediario prevedibile per l'invocazione degli strumenti, riducendo l'ambiguità nell'interpretazione delle richieste e garantendo che il codice SQL dannoso fosse trasmesso nella struttura esatta prevista dall'applicazione.

La lezione fondamentale non è semplicemente che fosse possibile un attacco SQL injection, ma che la traversata parziale dell'AST abbia compromesso il confine di sicurezza previsto, che avrebbe dovuto essere di sola lettura. Una volta che una chiamata di funzione pericolosa poteva essere nascosta all'interno di un contenitore di espressioni non visitato, numerose protezioni a valle diventavano inefficaci.

La strategia di exploit si basava sulla scelta di un modello in grado di seguire le istruzioni in modo coerente e di introdurre un'interferenza minima durante l'esecuzione di strumenti in più fasi. In pratica, ciò ha aumentato il determinismo e ha reso più facile preservare l'esatta struttura del payload necessaria per sostenere la catena di attacco. Dal punto di vista della sicurezza offensiva, ciò mette in luce una preoccupazione più ampia nei flussi di lavoro basati sull'intelligenza artificiale: quando l'output del modello viene considerato affidabile come intermediario per operazioni sensibili dal punto di vista della sicurezza, l'affidabilità nell'eseguire le istruzioni può influenzare direttamente la vulnerabilità al exploit. 

Per migliorare l'affidabilità dell'esecuzione in una serie di passaggi interdipendenti, la sequenza di attacco ha fatto ricorso a diverse tecniche di ottimizzazione dei prompt:

1. Limitazione dei prompt di sistema - Limitando il modello all'utilizzo esclusivo di strumenti basati su file JSON forniti dall'utente, si è ridotta la sua tendenza a reinterpretare o a "pulire" gli input dannosi.
2. Incapsulamento JSON - L'inserimento dei payload all'interno di marcatori chiaramente definiti ha permesso di preservare la struttura esatta della query.
3. Sequenza passo dopo passo - Una sequenza numerata ha indotto il modello a eseguire le operazioni con stato nell'ordine previsto.
4. Logica di riprova di base - Consentire un nuovo tentativo in caso di errore ha ridotto la probabilità che errori temporanei interrompessero la catena di attacco.

Queste tecniche dimostrano come sia possibile modellare il comportamento dei modelli per aumentare l'affidabilità dello sfruttamento quando i flussi di lavoro basati su modelli di linguaggio di grandi dimensioni (LLM) vengono integrati con le piattaforme di esecuzione back-end.

Per una dimostrazione dettagliata dell'impatto significativo associato a questa vulnerabilità, consultare il seguente video:

I seguenti comandi sono stati forniti direttamente dall'utente all'agente per consentire l'esecuzione. Si noti che i comandi racchiudono esplicitamente il codice SQL nel formato JSON esatto richiesto dagli strumenti WeKnora.

Messaggio di verifica (lettura file):

Richiesta di caricamento della configurazione (Passaggi 1 e 2):

Richiesta di caricamento di un blocco di dati (esempio per il blocco 2):

Richiesta di esecuzione finale (Esporta e ricarica):

Per ridurre le vulnerabilità di cui abbiamo parlato in precedenza, assicurati che il tuo sistema sia aggiornato all'ultima versione di WeKnora.

OPSWAT MetaDefender Core, dotato di funzionalitàavanzate di SBOM(Software of Materials), consente alle organizzazioni di adottare un approccio proattivo nell'affrontare i rischi di sicurezza. Eseguendo la scansione delle applicazioni software e delle loro dipendenze, MetaDefender Core le vulnerabilità note, quali CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 e CVE-2026-30247, all'interno dei componenti elencati. Ciò consente ai team di sviluppo e sicurezza di dare priorità alle attività di patch, mitigando i potenziali rischi di sicurezza prima che possano essere sfruttati da malintenzionati. 

Di seguito è riportato uno screenshot dei CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 e CVE-2026-30247, rilevati da MetaDefender Core SBOM: