A comunidade de cibersegurança acendeu um alarme importante após o achado de falhas críticas em Chainlit, um marco de código aberto para criar chatbots conversacionais que se popularizou com milhões de downloads. Pesquisadores de Zafran Security identificaram duas vulnerabilidades que, combinadas, permitem desde a leitura de arquivos sensíveis até a realização de petições internas a serviços da rede, abrindo a porta à exfiltração de chaves de nuvem e movimentos laterais dentro de uma organização. Você pode ler o relatório dos descubridores no blog de Zafran Security aqui, e consultar a documentação oficial do Chainlit aqui.
Chainlit, que, de acordo com estatísticas públicas, acumula milhões de instalações e dezenas de milhares de downloads semanais, é usado para colocar interfaces conversacionais que frequentemente gerem dados sensíveis e segredos de serviços na nuvem. Devido à sua adoção em massa, qualquer defeito em sua lógica pode ter um alcance amplo: desde o roubo de credenciais de API até o acesso ao código fonte ou a bases de dados internos. Os números de downloads e uso são públicos em sites como PyPI Stats aqui, o que ajuda a dimensionar o risco.
Os dois erros documentados recebem as identificações CVE-2026-22218 e CVE-2026-22219 no catálogo público de vulnerabilidades do NVD. O primeiro é uma vulnerabilidade de leitura arbitrária de ficheiros No fluxo de atualização do elemento de projeto (ruta "/project/element"), que permitiria a um atacante autenticado recuperar o conteúdo de qualquer arquivo acessível pelo serviço. O segundo é uma vulnerabilidade de Server-Side Request Forgery (SSRF) que aparece quando o Chainlit está configurado com a camada de dados SQLAlchemy; nesse cenário, um atacante poderia induzir o servidor a fazer pedidos de HTTP para serviços internos ou para endpoints de metadata da nuvem. Os detalhes técnicos de cada CVE estão disponíveis na base de dados NVD: CVE-2026-22218 e CVE-2026-22219.
O que torna especialmente perigoso a combinação de ambas as falhas é que a leitura arbitrária de arquivos pode revelar segredos que facilitam ataques posteriores: por exemplo, acessar o conteúdo de "/proc/self/environ" expõe variáveis de ambiente com chaves e rotas internas que um atacante pode usar para escalar privilégios ou mover-se lateralmente. Se a aplicação usa o SQLAlchemy com o SQLite, também existe risco de exfiltrar arquivos de base de dados completos. Por sua vez, o SSRF pode ser aproveitado para consultar os serviços de metadata de fornecedores na nuvem (como os que devolvem credenciais temporárias), permitindo que um atacante obtenha acessos válidos a recursos do fornecedor e consolidar a intrusão.
Diante do aviso responsável relatado no final de novembro de 2025, os mantenedores do Chainlit publicaram uma correção na versão 2.9.4, lançada em 24 de dezembro de 2025. É imprescindível que as equipes que executam instâncias de Chainlit atualizem a essa versão ou a uma posterior: a atualização corrige as validações no fluxo vulnerável e reduz a superfície de ataque. O adesivo oficial está no repositório de Chainlit no GitHub aqui.
Estes incidentes não são casos isolados: à medida que as empresas incorporam quadros de IA e componentes de terceiros, estão a ser reintroduzidos tipos de vulnerabilidades clássicas em infra-estruturas novas e específicas para a IA. Zafran e outros pesquisadores alertam que frameworks como Chainlit podem arrastar falhas bem conhecidas – como SSRF ou leitura arbitrária de arquivos – ao coração de implantaçãos que manejam dados críticos, com consequências que vão além de uma aplicação concreta.
Em paralelo, outra pesquisa divulgada recentemente pela assinatura BlueRock detectou uma falha no servidor MarkItDown MCP da Microsoft (apodada MCP fURI) que permite invocar URIs arbitrárias da ferramenta de conversão, o que também abre vias para SSRF, escalada de privilégios e fuga de informação quando o servidor corre em instâncias da AWS com IMDSv1 habilitado. A análise da BlueRock indica que uma proporção significativa de servidores MCP analisados poderiam ser suscetíveis a ataques semelhantes; o relatório completo está disponível no blog da BlueRock aqui. Para entender melhor o risco do SSRF e suas implicações, a comunidade de segurança recorre a recursos como OWASP SSRF e a documentação da AWS sobre como proteger o serviço de metadata com IMDSv2 aqui.
Diante desses achados, as medidas práticas que devem considerar os responsáveis pela segurança vão desde a ação imediata até mudanças estruturais na gestão de dependências. Em urgente, atualizar qualquer instalação do Chainlit à versão que corrige os erros é a prioridade. Em seguida, convém rever configurações de rede e permissões: limitar o acesso do serviço a recursos da rede interna e a metadatas de nuvem, executar processos com os mínimos privilégios necessários, e armazenar credenciais usando mecanismos gerenciados ou rotatividade automática para reduzir o impacto se forem filtrados.
A médio prazo, os equipamentos devem incorporar auditorias de segurança específicas para componentes de IA, incluir testes de SSRF e leitura de arquivos em suas pipelines de pentesting, e aplicar princípios de hardening que reduzam a exposição de metadados e serviços internos. Em ambientes cloud, a adoção de IMDSv2, o bloqueio de endereços IP privados desde processos não confiáveis e o uso de listas brancas podem mitigar muitos vetores de exfiltração. O AWS oferece guias para aplicar IMDSv2 e endurecer o acesso à metadata, que são um bom ponto de partida aqui.
A lição é clara: a integração rápida de ferramentas e frameworks de IA traz benefícios indubitavelmente, mas também arrasta riscos clássicos para camadas novas da pilha tecnológica. Auditar dependências, exigir adesivos e projetar ambientes com limites de segurança bem definidos são passos imprescindíveis para evitar que uma vulnerabilidade aparentemente localizada termine comprometendo contas cloud inteiras ou dados sensíveis da organização.
Se você administra aplicativos baseados em Chainlit, atualizar quanto antes da versão corrigida e revisar logs e segredos que poderiam ter sido comprometidos antes do adesivo. Para mais contexto técnico e mitigações específicas, consulte o aviso de Zafran aqui, os registros da NVD sobre os CVE CVE-2026-22218 e CVE-2026-22219, e a correção publicada por Chainlit no GitHub aqui.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...