Các nền tảng AI cũng không tránh khỏi rủi ro bảo mật: Nhóm 515 phát hiện nhiều lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong WeKnora

Các nền tảng AI đang nhanh chóng trở thành một phần không thể thiếu trong các quy trình sản xuất hiện đại, nhưng sự đổi mới không đồng nghĩa với việc loại bỏ rủi ro bảo mật. Giống như các ứng dụng truyền thống, các nền tảng được thiết kế dành riêng cho AI vẫn phải đối mặt với các loại lỗ hổng bảo mật quen thuộc, và trong nhiều trường hợp, chúng còn tạo ra các điểm tấn công mới khi việc điều phối mô hình ngôn ngữ lớn (LLM), nhập liệu tài liệu, tích hợp công cụ bên ngoài và các dịch vụ phía máy chủ ngày càng trở nên liên kết chặt chẽ với nhau. Khi các nền tảng này đảm nhận nhiều chức năng nhạy cảm về bảo mật hơn, những điểm yếu trong quá trình triển khai có thể nhanh chóng leo thang thành các vấn đề bảo mật có tác động nghiêm trọng.

Tencent WeKnora là một khung công nghệ mã nguồn mở, được hỗ trợ bởi mô hình ngôn ngữ lớn (LLM), chuyên về phân tích sâu tài liệu và truy xuất ngữ nghĩa, được phát triển nhằm hỗ trợ các tổ chức xây dựng cơ sở kiến thức và các tác nhân AI có khả năng tạo ra các câu trả lời phù hợp với ngữ cảnh từ dữ liệu phức tạp và đa dạng. Bằng cách kết hợp xử lý tài liệu, truy xuất, quy trình làm việc do tác nhân điều khiển và tích hợp với các khả năng bên ngoài, WeKnora không chỉ cho phép thực hiện các hoạt động kiến thức mạnh mẽ dựa trên AI, mà còn tạo ra các ranh giới tin cậy nhạy cảm về bảo mật, đòi hỏi phải đánh giá cẩn thận khi kết nối với các hệ thống backend và các đường dẫn thực thi.

Các lỗ hổng được phát hiện trong WeKnora phân bố trên nhiều lĩnh vực chức năng thay vì tập trung vào một thành phần duy nhất. Các vấn đề được Quan phát hiện bao gồm thực thi mã từ xa, giả mạo yêu cầu phía máy chủ và kiểm soát truy cập bị hỏng, với tác động từ việc truy cập tài nguyên nội bộ đến xâm phạm chéo giữa các khách hàng và thực thi mã phía sau. Từ góc độ phòng thủ, nghiên cứu đã nêu bật một mối lo ngại về kiến trúc rộng hơn: khi các quy trình làm việc của AI được phép tạo truy vấn, gọi các công cụ hoặc xử lý đầu vào bị ảnh hưởng bởi kẻ tấn công qua các ranh giới đáng tin cậy, những lỗ hổng triển khai tương đối nhỏ có thể leo thang thành các hậu quả an ninh có tác động lớn.

Các lỗ hổng bảo mật đã được xác định được tóm tắt như sau:

• CVE-2026-30860: Thực thi mã từ xa thông qua lỗ hổng vượt qua cơ chế ngăn chặn SQL Injection trong công cụ truy vấn cơ sở dữ liệu AI
• CVE-2026-30861: Thực thi mã từ xa thông qua lỗ hổng chèn lệnh trong quá trình xác thực cấu hình của MCP Stdio
• CVE-2026-30859: Lỗi kiểm soát truy cập dẫn đến rò rỉ dữ liệu giữa các người dùng
• CVE-2026-30858: Lỗi DNS Rebinding trong hàm web_fetch cho phép thực hiện tấn công SSRF vào các tài nguyên nội bộ
• CVE-2026-30857: Sao chép cơ sở kiến thức giữa các tenant mà không được phép
• CVE-2026-30856: Lợi dụng việc đặt tên không rõ ràng trong ứng dụng khách MCP để chiếm quyền điều khiển quá trình thực thi công cụ và tiêm lệnh gián tiếp vào dòng lệnh
• CVE-2026-30855: Lỗi kiểm soát truy cập trong Quản lý người thuê
• CVE-2026-30247: Lỗ hổng SSRF thông qua chuyển hướng

Nhìn chung, những phát hiện này cho thấy các nền tảng được thiết kế dành riêng cho trí tuệ nhân tạo (AI) cần được đánh giá với mức độ nghiêm ngặt tương tự như đối với bất kỳ bộ phần mềm hiện đại nào, đặc biệt là trong những trường hợp dữ liệu đầu vào do người dùng điều khiển hoặc do mô hình tạo ra có thể ảnh hưởng đến hành vi của hệ thống backend liên quan đến an ninh.

Trong số tám lỗ hổng bảo mật đã được công bố,CVE-2026-30860nổi bật là một trong những lỗ hổng có ý nghĩa kỹ thuật quan trọng nhất. Lỗ hổng này ảnh hưởng đến khả năng truy vấn cơ sở dữ liệu AI của WeKnora, nơi các yêu cầu bằng ngôn ngữ tự nhiên có thể được chuyển đổi thành các truy vấn SQL và thực thi trên nguồn dữ liệu PostgreSQL được kết nối. Trong quy trình này, ứng dụng đã cố gắng thiết lập một ranh giới bảo vệ thông qua phân tích cú pháp SQL và xác thực dựa trên AST trước khi cho phép thực thi. Tuy nhiên, việc triển khai logic xác thực đó chưa hoàn chỉnh. 

Đường dẫn thực thi dễ bị tấn công có thể được mô tả một cách chính xác như sau:

• Một yêu cầu từ người dùng được gửi đến trợ lý AI và yêu cầu dữ liệu từ cơ sở kiến thức được kết nối.
• Trình xử lý chuyển đổi yêu cầu đó thành câu lệnh SQL nhắm đến các bảng được lưu trữ trên PostgreSQL.
• WeKnora phân tích cú pháp SQL bằng pg_query_go và chuyển cây phân tích qua các hàm validateSelectStmt và validateNode.
• Nếu quá trình xác thực thành công, câu lệnh kết quả sẽ được thực thi với các quyền truy cập cơ sở dữ liệu đã được cấu hình cho ứng dụng.

Kiến trúc này chỉ có thể hoạt động được nếu quá trình duyệt AST được thực hiện đầy đủ. Việc lọc từ khóa đơn thuần là không đủ, bởi vì PostgreSQL cho phép nhúng các lệnh gọi hàm nguy hiểm vào nhiều loại biểu thức và cấu trúc chứa.

Cây cú pháp trừu tượng (AST) là một biểu diễn có cấu trúc của logic mã nguồn. Trong WeKnora, trình phân tích cú pháp PostgreSQL chính thức, thông qua hàm `pg_query_go`, được sử dụng để chuyển đổi các truy vấn SQL thô thành một cây các nút. Điều này cho phép ứng dụng kiểm tra các thành phần cấu trúc của một truy vấn, chẳng hạn như tham chiếu bảng, lệnh gọi hàm và biểu thức, thay vì dựa vào việc so khớp mẫu hoặc biểu thức chính quy – những phương pháp thường có thể bị vượt qua.

Trong mô hình này, tính bảo mật phụ thuộc vào việc liệu logic xác thực có thể duyệt qua toàn bộ AST và kiểm tra mọi nút con liên quan hay không. Nếu quá trình duyệt không đầy đủ, các cấu trúc nguy hiểm có thể bị ẩn bên trong các hàm bao bọc biểu thức mà trình xác thực không bao giờ tiếp cận được.

WeKnora đã triển khai mô hình bảo mật đa tầng bao gồm một số biện pháp kiểm soát an ninh: kiểm tra tính hợp lệ của đầu vào, phân tích cú pháp SQL, áp dụng quy tắc chỉ một câu lệnh, hạn chế chỉ sử dụng câu lệnh SELECT, xác thực biểu thức đệ quy, kiểm soát truy cập bảng và chặn các hàm nguy hiểm. Xét riêng lẻ, các lớp này đều hợp lý. Sự cố xảy ra tại điểm mà các biện pháp bảo vệ này phụ thuộc lẫn nhau. Cụ thể, giai đoạn kiểm tra đệ quy giả định rằng các biểu thức con được bao phủ hoàn toàn, nhưng việc triển khai trước phiên bản 0.2.12 không đáp ứng đầy đủ giả định đó.

Việc triển khai hàm validateNode trong WeKnora phiên bản 0.2.11 đã xử lý một danh sách dài nhưng chưa đầy đủ các loại nút AST của PostgreSQL. Hàm này đã thực hiện truy xuất đệ quy vào các loại nút như AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy và List. Tuy nhiên, sau khi xử lý các nhánh được chỉ định rõ ràng đó, hàm này trả về giá trị nil. Bất kỳ nút chứa nào không được bao gồm trong logic duyệt đó thực tế đều trở thành điểm mù, ngay cả khi nó vẫn chứa các biểu thức con cần được xác thực.

Ở mức độ tổng quan, quy trình khai thác lỗ hổng này bao gồm việc lén lút đưa các lệnh gọi hàm PostgreSQL nguy hiểm qua lỗ hổng trong cơ chế xác thực AST để tiếp cận các hàm cơ bản có khả năng truy cập tệp, lạm dụng cấu hình và cuối cùng là thực thi mã từ xa. Việc khai thác thành công phụ thuộc vào việc biến mô hình này thành một trung gian có thể dự đoán được để gọi các công cụ, giảm thiểu sự mơ hồ trong cách diễn giải các yêu cầu, đồng thời đảm bảo rằng mã SQL độc hại được truyền đi theo cấu trúc chính xác như ứng dụng mong đợi.

Bài học cốt lõi ở đây không chỉ là việc có thể thực hiện tấn công SQL injection, mà còn là việc việc duyệt một phần cây cú pháp (AST) đã làm suy yếu ranh giới bảo mật chỉ đọc như dự định. Một khi một lệnh gọi hàm nguy hiểm có thể được ẩn bên trong một vùng biểu thức chưa được duyệt, nhiều biện pháp bảo vệ ở các tầng sau đó sẽ trở nên vô hiệu.

Chiến lược khai thác này dựa trên việc lựa chọn một mô hình có khả năng tuân thủ các chỉ thị một cách nhất quán và gây ra sự can thiệp tối thiểu trong quá trình thực thi các công cụ nhiều bước. Trên thực tế, điều này đã tăng cường tính xác định và giúp dễ dàng duy trì cấu trúc tải trọng chính xác cần thiết để duy trì chuỗi tấn công. Từ góc độ an ninh tấn công, điều này nêu bật một vấn đề đáng lo ngại hơn trong các quy trình làm việc ứng dụng trí tuệ nhân tạo: khi kết quả đầu ra của mô hình được tin cậy như một trung gian cho các hoạt động nhạy cảm về an ninh, độ tin cậy trong việc tuân thủ chỉ thị có thể ảnh hưởng trực tiếp đến khả năng bị khai thác. 

Để nâng cao độ tin cậy trong quá trình thực thi trên nhiều bước phụ thuộc lẫn nhau, chuỗi tấn công đã áp dụng một số kỹ thuật tối ưu hóa lời nhắc:

1. Hạn chế lời nhắc hệ thống - Việc giới hạn mô hình chỉ được phép gọi các công cụ thông qua tệp JSON do người dùng cung cấp đã làm giảm xu hướng của mô hình trong việc tái diễn giải hoặc làm sạch các đầu vào độc hại.
2. Đóng gói JSON - Việc bao bọc các dữ liệu tải trong các dấu hiệu được xác định rõ ràng đã giúp duy trì cấu trúc truy vấn chính xác.
3. Xếp thứ tự từng bước - Một chuỗi các bước được đánh số giúp mô hình thực hiện các thao tác có trạng thái theo thứ tự dự định.
4. Cơ chế thử lại cơ bản - Việc cho phép thử lại khi gặp lỗi đã giúp giảm thiểu khả năng các lỗi tạm thời làm gián đoạn chuỗi tấn công.

Các kỹ thuật này minh họa cách thức có thể điều chỉnh hành vi của mô hình để nâng cao độ tin cậy của quá trình khai thác khi các quy trình làm việc dựa trên mô hình ngôn ngữ lớn (LLM) được tích hợp với các nền tảng thực thi phía sau.

Vui lòng tham khảo video sau để biết thông tin chi tiết về tác động đáng kể liên quan đến lỗ hổng bảo mật này:

Các lệnh sau đây được người dùng cung cấp trực tiếp cho nhân viên hỗ trợ để thực hiện thao tác. Lưu ý rằng các lệnh này đã bao bọc câu lệnh SQL theo đúng định dạng JSON mà các công cụ WeKnora yêu cầu.

Thông báo xác minh (Đọc tệp):

Thông báo tải lên cấu hình (Bước 1 và 2):

Yêu cầu tải lên khối dữ liệu (Ví dụ cho Khối 2):

Lệnh thực thi cuối cùng (Xuất & Tải lại):

Để giảm thiểu các lỗ hổng bảo mật mà chúng ta đã đề cập ở trên, vui lòng đảm bảo rằng hệ thống của bạn đã được cập nhật lên phiên bản mới nhất của WeKnora.

OPSWAT MetaDefender Core, được trang bị các tính năngSBOM(Software thành phầnSoftware )tiên tiến, cho phép các tổ chức áp dụng phương pháp chủ động trong việc giải quyết các rủi ro bảo mật. Bằng cách quét các ứng dụng phần mềm và các thành phần phụ thuộc của chúng, MetaDefender Core các lỗ hổng đã biết, chẳng hạn như CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 và CVE-2026-30247, trong các thành phần được liệt kê. Điều này giúp các nhóm phát triển và bảo mật ưu tiên các nỗ lực vá lỗi, giảm thiểu các rủi ro bảo mật tiềm ẩn trước khi chúng có thể bị các tác nhân độc hại khai thác. 

Dưới đây là ảnh chụp màn hình của các lỗ hổng CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 và CVE-2026-30247, được phát hiện bởi MetaDefender Core SBOM: