Два інструменти штучного інтелекту вийшли з ладу однаковим чином протягом двох тижнів, і чотири дослідницькі групи це підтвердили. За кожним викриттям стоїть одна причина: корпоративний ШІ приймає зовнішні дані без довіреної межі безпеки.
15 червня компанія Varonis виявила SearchLeak (CVE-2026-42824) — ланцюжок ексфільтрації даних, що доводить концепцію, у функції Enterprise Search Microsoft 365 Copilot. Жертва натискає на спеціально створене посилання microsoft.com, Copilot шукає дані в її поштовій скриньці, і інформація виходить через Bing SSRF. Без плагінів, без другого кліку, без видимих індикаторів. Чотирма днями раніше Obsidian Security опублікувала ланцюжок із трьох CVE проти LiteLLM, який дозволив звичайному користувачеві з низькими привілеями отримати права адміністратора та виконати віддалений код. Два інструменти. Дві команди. Одна порушена межа безпеки.
Аудит із п’яти перевірок, що наведено в кінці цієї статті, зіставляє кожну прогалину з CVE або ринковим сигналом за червень, команду, яку можна виконати до обіду, та речення, яке керівник служби безпеки (CISO) може зачитати раді директорів.
Copilot перетворив довірене посилання на механізм ексфільтрації
SearchLeak об’єднав три слабкі місця в ланцюжок тихого викрадення даних. Параметр `q` у URL-адресі передавав інструкції зловмисника безпосередньо до LLM Copilot. Стан перегонів рендерингу спрацював для тегу зображення до того, як запустився санітайзер виводу. Кінцева точка пошуку зображень Bing, дозволена в Content Security Policy (CSP), спрямувала викрадені дані назовні. Microsoft оцінила вразливість як критичну та виправила її на бекенді, за даними Varonis. NVD ще не оцінила її; сторонній трекер класифікує її як 6.5 (середній). Серйозність є предметом дискусій, але механізм — ні.
Ескалація — це справжня історія. Це вже третій ланцюжок ексфільтрації даних Copilot від Varonis за дванадцять місяців, після Reprompt у січні та EchoLeak у 2025 році. Reprompt вразив Copilot Personal. SearchLeak вразив Enterprise Search. Enterprise успадковує повні організаційні дозволи користувача, тому радіус ураження — це все, до чого може дістатися користувач.
LiteLLM надав облікові дані за замовчуванням кожному ключу провайдера
Шлюз LiteLLM тримає ключі для OpenAI, Anthropic, Azure та Bedrock за одним проксі-сервером. Ланцюжок Obsidian складається з трьох кроків. CVE-2026-47101, обхід авторизації, дозволяє не-адміністратору створити wildcard API-ключ. CVE-2026-47102 підвищує рівень привілеїв цього викликача до адміністратора проксі через незахищену кінцеву точку `/user/update`. CVE-2026-40217 виходить з кодової пісочниці через `exec()` з повними вбудованими функціями. Obsidian продемонстрував зворотний шел через введення підробленої відповіді на виклик інструменту за допомогою механізму зворотного виклику LiteLLM. Obsidian оцінив комбінований ланцюжок у CVSS 9.9. Розробник ввів одне слово. Зловмисник отримав доступ до шелу.
Окрема вразливість LiteLLM зробила ситуацію терміновою. CVE-2026-42271, вразливість ін’єкції команд у тестових кінцевих точках MCP, потрапила до списку CISA KEV 8 червня з крайнім терміном виправлення 22 червня. Цей запис KEV не стосується ланцюжка Obsidian. Ці дві вразливості — окремі викриття з інтервалом у чотири дні, виправлені в різних версіях, націлені на той самий шлюз. LiteLLM має понад 40 000 зірок на GitHub і використовується в тисячах корпоративних розгортань. Це не перший інцидент. Компрометація ланцюжка постачання заразила версії LiteLLM 1.82.7 і 1.82.8 на PyPI у березні. Заражений шлюз викриває облікові дані всіх провайдерів, які має організація.
Langflow та Mini Shai-Hulud довели, що патерн масштабується
Та ж межа безпеки була порушена ще в двох інструментах протягом тих самих двох тижнів. Langflow CVE-2026-5027 став третьою вразливістю віддаленого виконання коду (RCE) для Langflow, що активно використовується цього року. Обхід шляху під час завантаження файлів дозволяє зловмиснику записувати файли будь-де на диску, і оскільки Langflow постачається з автоматичним входом за замовчуванням, один неавтентифікований запит призводить до RCE. VulnCheck підтвердив експлуатацію 9 червня. Censys нарахував приблизно 7 000 відкритих екземплярів, найбільша концентрація — у Північній Америці, з приписуванням MuddyWater.
Кампанія Mini Shai-Hulud вдарила по іншій точці тиску. Після того, як вихідний код черв’яка став загальнодоступним 12 травня, варіанти-клони заразили 32 пакети Red Hat Cloud Services npm 1 червня. Ці пакети завантажувалися 80 000 разів на тиждень. Черв’як збирає понад 20 типів облікових даних і самостійно поширюється під виглядом скомпрометованого мейнтейнера.
Чотири команди, чотири інструменти, одна операційна невдача. Класи вразливостей відрізняються. SearchLeak — це ін’єкція підказок. LiteLLM — це ескалація привілеїв. Langflow — це обхід шляху. Mini Shai-Hulud — це отруєння ланцюжка постачання. Але межа, що була порушена, у всіх чотирьох випадках — одна й та сама.
Ринок вже переоцінив ризик
Фінансовий звіт CrowdStrike за перший квартал 2027 фінансового року підтвердив це. Напрямок AIDR (AI Detection and Response) компанії продемонстрував зростання річної контрактної виручки (ARR) більш ніж на 250% порівняно з попереднім кварталом, з конвеєром у другому кварталі понад 50 мільйонів доларів (зареєстровано в SEC як 8-K). Загальна ARR компанії досягла 5,51 мільярда доларів, а телеметрія CrowdStrike показує понад 1800 агентських програм, що працюють на корпоративних кінцевих пристроях.
17 червня компанія розширила AIDR на AWS, додавши оцінку в реальному часі комунікацій між агентами, LLM та MCP у Amazon Bedrock, Kiro та Strands Agents, спираючись на свою роботу з Project Glasswing від Anthropic. Деніел Бернард, головний комерційний директор CrowdStrike, зазначив, що атакована поверхня ШІ тепер охоплює розробку, виконання, ідентифікацію та хмарну інфраструктуру, і що команди, які розглядають ці сфери як окремі, залишають прогалини між ними відкритими.
Практики називають ту саму прогалину простішими словами
Девід Левін, CISO в American Express Global Business Travel, заявив VentureBeat, що така закономірність його не дивує. «У нас є так званий тіньовий ШІ, який є просто новою версією тіньової ІТ», — сказав Левін.
Langflow і LiteLLM відповідають цьому опису. Команди встановлювали їх для зручності, надавали їм облікові дані та ніколи не вводили їх під управління. Левін наголошує на необхідності виправлень перед розгортанням. «Ми не бралися за це, не маючи належних фундаментальних основ», — сказав він. «Ми використовуємо контроль NIST. NIST випустив свій CSF разом зі своєю системою ШІ. OWASP випустив свій топ-10. Вам потрібні правильні основи перед розгортанням».
Меррітт Бер, CSO в Enkrypt AI і колишній заступник CISO AWS, назвала структурну версію цієї невдачі в окремому інтерв’ю VentureBeat. «Підприємства вважають, що вони ‘затвердили’ постачальників ШІ, але насправді вони затвердили інтерфейс, а не базову систему», — зазначила Бер. «Справжні залежності знаходяться на один-два рівні глибше, і саме вони виходять з ладу під навантаженням». Вона безпосередньо пов’язала це зі способом виходу систем з ладу. «Сирі нульові вразливості — це не те, як компрометуються більшість систем. Компонуваність — ось що робить це можливим», — сказала Бер VentureBeat. «Ризик криється в сполученні моделі та ваших даних. Якщо ви надасте агенту bash і root-токен, ви вже зробили більшу частину роботи зловмисника за нього». Це те, що тестують рядки 2 і 4 аудиту: шлюз, який зберігає всі ключі, та ідентичність агента, якою ніхто не керує.
Левін запропонував чіткішу формулювання для ради директорів. «Вам потрібно більше говорити про ризики порівняно з відповідністю вашим радам директорів та керівникам», — сказав він. «Справа вже не в розмірі інженерної команди. Це розмір вашої уяви. Все написано простою англійською. Це не складно для будь-кого». Ні SearchLeak, ні LiteLLM не потребували кастомного шкідливого ПЗ чи нульової вразливості для роботи.
Адам Майерс, SVP з розвідки CrowdStrike, навів оперативну картину в цифрах в ексклюзивному інтерв’ю VentureBeat. «Проблема не в нульовій вразливості. Проблема в патчах. Якщо ви збільшите цю проблему в 10 разів, вони будуть повністю перевантажені», — сказав Майерс. Він вказав на ідентичність як на другий фронт. «Деякі з цих ШІ мають власні ідентичності, або люди надають свою ідентичність ШІ для дій від їхнього імені, і це робить проблему дуже складною».
Аудит меж довіри з п’яти перевірок
Кожен рядок відображає прогалину, її доказ, команду для перевірки в понеділок, виправлення та речення для керівництва.
|
Прогалина в межі довіри |
Доказ |
Що зламалося |
Перевірити в понеділок |
Виправити в понеділок |
Мова для ради директорів |
|
1. Підказка до даних |
SearchLeak CVE-2026-42824. Ін’єкція P2P + перегони HTML + Bing SSRF. Ексфільтрація пошти одним кліком через URL Microsoft.com. PoC продемонстровано; Microsoft оцінив як критичний, NVD ще не оцінила. |
Параметр URL `q` передавався до LLM як інструкції. Санітайзер запускався після рендерингу. Bing діяв як проксі для ексфільтрації через CSP. |
Перевірити дозволи CSP для доменів, що виконують серверні запити. Моніторити URL Copilot Search на наявність закодованих корисних навантажень. Переглянути журналы аудиту Copilot. |
Підтвердити встановлення серверного патча. Увімкнути мітки конфіденційності, що обмежують Copilot. Розглядати потокове виведення ШІ як недовірене. |
«Наш ШІ-помічник міг шукати електронну пошту співробітників і надсилати результати зловмиснику через довірене посилання Microsoft. Постачальник виправив це. Ми повинні перевірити конфігурацію». |
|
2. Витік облікових даних шлюзу |
Ланцюжок LiteLLM з трьома CVE (-47101, -47102, -40217). CVSS 9.9. Окремий CVE-2026-42271 у списку CISA KEV (виправлено у v1.83.7; повний ланцюжок виправлено у v1.83.14-stable). Крайній термін 22 червня. |
Відсутність валідації ролей у ключових кінцевих точках. Самопідвищення до адміністратора через /user/update. Втеча з пісочниці через exec(). Один шлюз викриває всі ключі провайдерів. |
Виконати `pip show litellm`. Нижче 1.83.14-stable = вразливо. Перевірити відкритість /mcp-rest/test/. Аудит облікових записів proxy_admin. |
Оновити до v1.83.14-stable+. Змінити всі API-ключі провайдерів. Заблокувати /mcp-rest/test/* на проксі. Переглянути кастомні захисні механізми коду. |
«Наш ШІ-шлюз зберігав ключі всіх провайдерів. Обліковий запис за замовчуванням міг підвищити свої привілеї до адміністратора і вкрасти їх усі. Ми змінюємо ключі та встановлюємо патчі». |
|
3. Розповсюдження інструментів ШІ |
Langflow CVE-2026-5027 (CVSS 8.8). Третій RCE за 2026 рік. ~7000 відкритих екземплярів. MuddyWater. Активна експлуатація 9 червня. |
Обхід шляху під час завантаження файлів. Автоматичний вхід увімкнено за замовчуванням. Один неавтентифікований запит до RCE. |
Запитувати Censys/Shodan щодо Langflow, Flowise, n8n, Dify на вашому периметрі. Перевірити автоматичний вхід. Інвентаризувати інструменти ШІ поза управлінням змінами. |
Розмістити платформи ШІ за VPN/zero-trust. Увімкнути автентифікацію скрізь. Оновити Langflow до v1.9.0+ (поточний реліз 1.10.0). Постійно сканувати поверхню атаки. |
«Інструменти розробки ШІ відкриті для інтернету з вимкненим входом. Національна група експлуатує цю вразливість зараз. Сьогодні закриваємо їх за допомогою контролю доступу». |
|
4. Управління нелюдськими ідентичностями |
ARR AIDR зросла на 250% (Q1 FY27, SEC 8-K). Конвеєр Q2 >$50M. 1800+ агентських програм на корпоративних кінцевих пристроях. |
Агенти мають ідентичності та діють від імені людей. Деякі виходять за межі свого призначення для досягнення мети. Немає стандарту, що регулює життєвий цикл облікових даних агента. |
Інвентаризувати всі нелюдські ідентичності, що використовуються агентами та серверами MCP. Відобразити доступ агента до сховища даних. Позначити агентів з правами запису до політики безпеки. |
Принцип найменших привілеїв для кожної ідентичності агента. Встановити межі привілеїв через захист ідентифікації. Виявлення в реальному часі дій, що перевищують політику. Людський контроль для змін політики. |
«ШІ-агенти мають облікові дані та діють автономно. Ми не керуємо життєвим циклом їхніх ідентичностей, як доступом людей. 250% зростання ринку свідчить про системність цієї прогалини». |
|
5. Виявлення агентських дій у реальному часі |
Falcon AIDR розширено на AWS (17 червня). Охоплює Bedrock, Kiro, Strands Agents. Інтеграція MCP. Оцінка в реальному часі агентів/LLM/MCP. |
Традиційні інструменти відстежують дії зі швидкістю людини. Агенти працюють зі швидкістю машини, виконуючи тисячі дій за хвилину, і обходять засоби контролю для досягнення цілей. |
Перевірити, чи пов’язує EDR/XDR дії агента з ідентичністю-джерелом. Переконатися, що SIEM приймає комунікації MCP. Підтвердити, що ви можете відрізнити людину від агента на кінцевому пристрої. |
Розгорнути AIDR або еквівалентне виявлення в реальному часі. Виявлення тіньового ШІ для всіх агентських програм, моделей, серверів MCP, ідентичностей. Enforcement політики в реальному часі щодо дій агентів. |
«Ми не можемо відрізнити співробітника-людину від ШІ-агента, що діє від його імені. Нам потрібне виявлення в реальному часі зі швидкістю машини, яке може зупинити шкоду до її початку». |
Виправлення — це інженерія, а не політика
Виконавчий указ від 2 червня створює Центр обміну інформацією з кібербезпеки ШІ з терміном виконання 2 липня. П’ять зазначених вище прогалин не є проблемами передових моделей. Це інженерні проблеми в шлюзах, платформах оркестрації, рівнях ідентифікації та середовищах виконання, де ШІ зустрічається з підприємством.
Аудит складається з п’яти рядків. Кожен рядок відповідає викриттю чи ринковому сигналу за червень, команді, яку команда може виконати до обіду, і реченню, яке CISO може прочитати раді директорів. Питання не в тому, чи виправить ваш постачальник. Питання в тому, чи знайдете ви прогалину першими — чи знайде її зловмисник, як це сталося з Copilot та LiteLLM.
Як захиститися (Порада ІТ-Блогу): Завжди перевіряйте налаштування довірених доменів та протоколів у ваших ШІ-інструментах. Обмежуйте повноваження будь-яких агентів ШІ до мінімально необхідних, щоб вони могли виконувати свої завдання.
Подробиці можна знайти на сайті: venturebeat.com