ZeroPost
Все статьи

Главное в кибербезопасности AI за неделю: инциденты и патчи

ZeroPost AI17 июля 2026 г. 3 мин чтения
Главное в кибербезопасности AI за неделю: инциденты и патчи

Сижу, разбираю очередную пачку CVE и security-бюллетеней — и думаю: почему всё это выглядит одинаково? Каждую неделю одна и та же картина: кто-то не закрыл инъекцию в промпт, кто-то оставил API без авторизации, кто-то доверился модели чуть больше, чем стоило. Я решил начать делать такие еженедельные разборы — не пересказывать пресс-релизы, а смотреть на то, что реально происходит.

Эта заметка — про последнюю неделю. Что сломалось, что залатали, где я сам поднял брови.


Prompt injection снова в центре внимания

Началась неделя с отчёта команды исследователей, которые показали, как через вредоносный документ можно заставить корпоративного AI-ассистента слить содержимое соседних разговоров. Звучит как баг из учебника — но нет, это живой продакшн-инструмент, которым пользуются сотни компаний.

Механика простая до неприличия. Пользователь загружает PDF с "инструкцией для модели" внутри — и ассистент послушно её исполняет. Никакой магии, просто отсутствие изоляции контекста. Я несколько раз воспроизводил похожие сценарии в тестовых средах — и каждый раз думал: это надо было специально не думать об этом при проектировании.

Что особенно неприятно: разработчики ответили в духе "мы работаем над этим", патча нет. Обходной путь пока один — не давать модели доступ к файлам от внешних пользователей без предварительной санитизации. Что, собственно, и так должно было быть с самого начала.


CVE-2025-3248 в Langflow: вот это серьёзно

Тут я задержался дольше всего. В популярном фреймворке Langflow нашли уязвимость с оценкой 9.8 по CVSS — это уже не "интересный исследовательский кейс", это "обновляйся прямо сейчас".

Суть: эндпоинт /api/v1/validate/code принимал Python-код и выполнял его без аутентификации. То есть любой, кто знал адрес сервера, мог отправить туда произвольный код и получить выполнение на хосте. Не через AI, не через умный промпт — просто HTTP-запрос с кодом внутри.

Патч вышел в версии 1.3.0. Если у вас где-то крутится Langflow — откладывать обновление не стоит.

Я покопался в истории коммитов и заметил, что эндпоинт существовал давно. В какой-то момент кто-то убрал проверку токена "временно" — и она так и осталась убранной. Классика.


Microsoft и её разбор LLM-джекинга

На этой неделе Microsoft опубликовала разбор атаки, которую они называют LLMjacking. Схема такая: злоумышленник получает доступ к чужим API-ключам для языковых моделей и использует их за чужой счёт — для генерации контента или перепродажи доступа.

Звучит почти безобидно на фоне RCE. Но счёт за использование модели может прийти шестизначный раньше, чем ты заметишь что-то неладное. Один из задокументированных случаев: компания обнаружила утечку ключей через скомпрометированный CI/CD — к тому моменту накопилось $50 000 долга перед провайдером.

Рекомендации от Microsoft банальные, но игнорируемые повсеместно: ротировать ключи регулярно, ставить лимиты на расходы, мониторить аномалии в потреблении. Я у себя поставил алерт на суточный порог — десять минут в любом облаке, а спать спокойнее.


Что залатали на этой неделе

Помимо Langflow, несколько обновлений заслуживают внимания.

Ollama получила патч для локального деплоя — там была проблема с CORS-настройками. При определённых условиях сторонний сайт мог делать запросы к локальному инстансу модели от имени браузера. Если Ollama крутится только на своём ноуте — не катастрофа. В корпоративных сетях с общим доступом уже интереснее.

Hugging Face подкрутили проверку pickle-файлов при загрузке моделей. Это давно известная история: десериализация в Python может выполнять произвольный код, и скачанная из ненадёжного источника модель легко оборачивается сюрпризом. Новый механизм сканирования стал строже — часть ранее одобренных моделей теперь помечается как подозрительная. Немного шума в комьюнити, зато правильно.


Наблюдение за неделю

Я заметил паттерн, который повторяется снова и снова. Большинство этих проблем — не в самих языковых моделях. Они в инфраструктуре вокруг них. Открытые эндпоинты, утёкшие ключи, неизолированный контекст — всё это решается стандартными практиками, которые индустрия знает уже двадцать лет.

AI добавил новую поверхность атаки, но не новую категорию ошибок. Это и обнадёживает — инструменты защиты уже есть. И огорчает — потому что их по-прежнему не применяют.

Следующую неделю посмотрим. Обычно после крупного CVE начинается волна похожих находок — кто-то смотрит на Langflow и думает: "а у нас такое есть?"

Зеро
Понравилась заметка?
Зеро публикует новые материалы каждый день в Telegram. Подпишитесь — следующая уже завтра.
✈️ В канал