Die Cyber-Sicherheits-Community hat einen großen Alarm nach der Feststellung von kritischen Fehlern in Chainlit, ein Open-Source-Framework für die Erstellung von Gesprächschatbots, die mit Millionen von Downloads populär gemacht. Zafran Security-Wissenschaftler haben zwei Schwachstellen identifiziert, die, kombiniert, vom Lesen empfindlicher Dateien, um interne Anfragen zu Netzwerk-Diensten zu machen, öffnen Sie die Tür zur Exfiltration von Cloud-Tasten und Seitenbewegungen innerhalb einer Organisation. Sie können den Bericht der Entdecker auf dem Blog von Zafran Security lesen Hier. und konsultieren Sie die amtliche Dokumentation von Chainlit Hier..
Chainlit, das nach öffentlichen Statistiken Millionen von Einrichtungen und zehntausende wöchentliche Downloads ansammelt, wird verwendet, um Gesprächsschnittstellen bereitzustellen, die häufig sensible und geheime Daten von Cloud-Diensten verarbeiten. Aufgrund seiner massiven Annahme kann jeder Defekt seiner Logik einen weiten Umfang haben: vom Diebstahl der API-Anmeldeinformationen bis zum Zugriff auf den Quellcode oder interne Datenbanken. Die Download- und Nutzungszahlen sind öffentlich auf Websites wie PyPI Stats Hier., die hilft, das Risiko zu skalieren.
Die beiden dokumentierten Versagen erhalten die CVE-2026-22218 und CVE-2026-22219 im öffentlichen Sicherheitskatalog der NVD. Die erste ist eine Schwachstelle willkürliches Lesen von Dateien im Update-Flow des Projektelements (Route "/ Projekt / Element"), die es einem authentifizierten Angreifer ermöglichen würde, den Inhalt einer Datei, die durch den Dienst erreichbar ist, wiederherzustellen. Die zweite ist eine Schwachstelle Server-Side Request Forgery (SSRF) das erscheint, wenn Chainlit mit der SQLAlchemy-Datenschicht konfiguriert ist; in diesem Szenario könnte ein Angreifer den Server dazu veranlassen, HTTP-Anfragen an interne Dienste zu stellen oder Metadatenendpunkte zu Cloud-Metadaten zu löschen. Die technischen Details jeder CVE sind in der NVD-Datenbank verfügbar: CVE-2026-22218 und CVE-2026-22219.
Was die Kombination beider Fehler besonders gefährlich macht, ist, dass das willkürliche Lesen von Dateien Geheimnisse enthüllen kann, die spätere Angriffe erleichtern: beispielsweise der Zugriff auf den Inhalt von "/ proc / self / environ" stellt in der Regel Umgebungsvariablen mit internen Schlüsseln und Routen, die ein Angreifer verwenden kann, um Privilegien zu skalieren oder seitlich zu bewegen. Wenn die Anwendung SQLAlchemy mit SQLite verwendet, besteht auch die Gefahr, vollständige Datenbankdateien zu filtern. Die SSRF kann ihrerseits dazu verwendet werden, die Metadatendienste von Cloud-Lieferanten (z.B. solche, die vorübergehende Anmeldeinformationen zurückgeben) zu konsultieren, so dass ein Angreifer einen gültigen Zugang zu den Ressourcen des Anbieters erhält und die Störung konsolidiert.
Nach der im späten November 2025 gemeldeten verantwortlichen Mitteilung veröffentlichten die Betreuer von Chainlit eine Korrektur in Version 2.9.4, die am 24. Dezember 2025 veröffentlicht wurde. Wesentlich ist, dass die Teams, die Chainlit-Instanzen ausführen, diese oder eine spätere Version aktualisieren: das Update korrigiert die Validierungen im gefährdeten Fluss und reduziert die Angriffsfläche. Der offizielle Patch ist im Chainlit Repository in GitHub Hier..
Diese Vorfälle sind nicht isoliert: Da Unternehmen IA-Frameworks und Komponenten von Drittanbietern integrieren, werden Arten von klassischen Schwachstellen innerhalb neuer und IA-spezifischer Infrastruktur wieder eingeführt. Zafran und andere Forscher warnen, dass Frameworks wie Chainlit bekannte Fehler - wie SSRF oder willkürliche Datei-Lesen - in das Herz von Bereitstellungen ziehen können, die kritische Daten behandeln, mit Konsequenzen, die über eine bestimmte Anwendung hinausgehen.
Parallel entdeckte eine weitere kürzlich von der Firma BlueRock berichtete Forschung einen Fehler auf dem Microsoft MarkItDown MCP-Server - nicknamed MCP fURI -, der es ermöglicht, dass willkürliche URis aus dem Conversion-Tool aufgerufen werden, die auch Routen für SSRF, Privileg Klettern und Informationsleckage öffnet, wenn der Server in AWS-Instanzen mit IMDSv1 aktiviert. BlueRock-Analyse zeigt, dass ein signifikanter Anteil an analysierten MCP-Servern anfällig für ähnliche Angriffe sein könnte; der vollständige Bericht ist auf BlueRocks Blog verfügbar Hier.. Um das Risiko von SSRF und dessen Auswirkungen besser zu verstehen, verwendet die Sicherheitsgemeinschaft Ressourcen wie OWASP auf SSRF und die AWS-Dokumentation zum Schutz des Metadatendienstes mit IMDSv2 Hier..
Angesichts dieser Feststellungen reichen die praktischen Maßnahmen, die von Sicherheitsbeamten zu berücksichtigen sind, von unmittelbaren Maßnahmen bis hin zu strukturellen Veränderungen in der Einheitsverwaltung. Die Aktualisierung einer beliebigen Chainlit-Installation auf die Bug-Korrecting-Version ist dringend die Priorität. Es ist dann angezeigt, Netzwerkkonfigurationen und Berechtigungen zu überprüfen: den Zugriff auf interne Netzwerkressourcen und Cloud-Metadaten zu begrenzen, Prozesse mit den Mindestberechtigungen auszuführen und Anmeldeinformationen über verwaltete Mechanismen oder automatische Rotation zu speichern, um die Auswirkungen zu reduzieren, wenn gefiltert.
Mittelfristig sollten Teams Sicherheitsaudits, die für IA-Komponenten spezifisch sind, SSRF-Tests und Datei-Lesen in ihren pentesting Pipelines einschließen und Härteprinzipien anwenden, die die Exposition von Metadaten und internen Diensten verringern. In Cloud-Umgebungen kann die Annahme von IMDSv2, die Blockierung von privaten IP-Adressen aus unzuverlässigen Prozessen und die Verwendung von weißen Listen viele Exfiltrationsvektoren mildern. AWS bietet Anleitungen zur Anwendung von IMDSv2 und zur Verschärfung des Zugangs zu Metadaten, die ein guter Ausgangspunkt sind Hier..
Die Lektion ist klar: Die schnelle Integration von IA-Werkzeugen und -Gerüsten bringt ungenutzte Vorteile, bringt aber auch klassische Risiken für neue Schichten des technologischen Stapels. Die Prüfung von Abhängigkeiten, anspruchsvollen Patches und die Gestaltung von Umgebungen mit definierten Sicherheitsgrenzen sind wesentliche Schritte, um zu verhindern, dass eine anscheinend lokalisierte Schwachstelle ganze Cloud-Konten oder sensible Organisationsdaten beeinträchtigt.
Wenn Sie Chainlit-basierte Anwendungen verwalten, aktualisieren Sie die korrigierte Version so schnell wie möglich und überprüfen Sie Protokolle und Geheimnisse, die vor dem Patch beeinträchtigt wurden. Für mehr technischen Kontext und spezifische Minderung, überprüfen Sie Zafrans Mitteilung Hier., NVD-Aufzeichnungen über EQO CVE-2026-22218 und CVE-2026-22219 und die von Chainlit in GitHub veröffentlichte Korrektur Hier..
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...