As plataformas de IA não estão isentas de riscos de segurança: a Unit 515 descobre várias vulnerabilidades de execução de código remoto (RCE) de gravidade crítica no WeKnora

As plataformas de IA estão a tornar-se rapidamente parte integrante dos fluxos de trabalho de produção modernos, mas a inovação não elimina os riscos de segurança. Tal como as aplicações tradicionais, as plataformas nativas de IA continuam expostas a tipos conhecidos de vulnerabilidades e, em muitos casos, introduzem novas superfícies de ataque à medida que a orquestração de LLM, a importação de documentos, a integração de ferramentas externas e os serviços de backend se tornam cada vez mais interligados. À medida que estas plataformas assumem funções mais sensíveis em termos de segurança, as falhas na implementação podem rapidamente transformar-se em problemas de segurança de grande impacto.

O Tencent WeKnora é uma estrutura de código aberto, baseada em LLM, destinada à compreensão profunda de documentos e à recuperação semântica, concebida para ajudar as organizações a criar bases de conhecimento e agentes de IA que geram respostas sensíveis ao contexto a partir de dados complexos e heterogéneos. Ao combinar o processamento de documentos, a recuperação, fluxos de trabalho orientados por agentes e a integração com capacidades externas, o WeKnora permite operações de conhecimento poderosas impulsionadas por IA, mas também cria limites de confiança sensíveis à segurança que requerem uma avaliação cuidadosa quando ligados a sistemas de backend e percursos de execução.

As vulnerabilidades identificadas no WeKnora estavam distribuídas por várias áreas funcionais, em vez de se concentrarem num único componente. Os problemas descobertos por Quan incluíram execução remota de código, falsificação de pedidos do lado do servidor e falhas no controlo de acesso, com impactos que variaram desde o acesso a recursos internos até à comprometimento entre inquilinos e à execução de código backend. Do ponto de vista defensivo, a investigação destacou uma preocupação arquitetónica mais ampla: quando os fluxos de trabalho de IA têm permissão para gerar consultas, invocar ferramentas ou processar entradas influenciadas por atacantes através de limites de confiança, falhas de implementação relativamente pequenas podem escalar para resultados de segurança de alto impacto.

As vulnerabilidades identificadas estão resumidas abaixo:

• CVE-2026-30860: Execução remota de código através de uma falha de segurança que permite contornar a injeção de SQL na ferramenta de consulta de bases de dados de IA
• CVE-2026-30861: Execução remota de código através de injeção de comando na validação da configuração do MCP Stdio
• CVE-2026-30859: Falha no controlo de acesso que leva à exposição de dados entre inquilinos
• CVE-2026-30858: Reencaminhamento de DNS no web_fetch, permitindo SSRF para recursos internos
• CVE-2026-30857: Clonagem não autorizada da base de conhecimento entre inquilinos
• CVE-2026-30856: Desvio da execução de ferramentas devido a nomenclatura ambígua no cliente MCP e injeção indireta de prompts
• CVE-2026-30855: Falha no controlo de acesso na gestão de inquilinos
• CVE-2026-30247: SSRF através de redirecionamento

Em conjunto, estas conclusões demonstram que as plataformas nativas de IA devem ser avaliadas com o mesmo rigor aplicado a qualquer pilha de software moderna, especialmente nos casos em que os dados introduzidos pelo utilizador ou gerados por modelos possam influenciar o comportamento do backend em termos de segurança.

Entre as oito vulnerabilidades divulgadas,a CVE-2026-30860destaca-se como uma das mais significativas do ponto de vista técnico. O problema afetava a capacidade de consulta da base de dados de IA da WeKnora, onde os pedidos em linguagem natural podiam ser traduzidos em consultas SQL e executados numa fonte de dados PostgreSQL ligada. Neste fluxo de trabalho, a aplicação tentava impor uma barreira defensiva através da análise sintática de SQL e da validação baseada em AST antes de permitir a execução. No entanto, a implementação dessa lógica de validação estava incompleta. 

O caminho de execução vulnerável pode ser descrito com precisão:

• Uma solicitação do utilizador chega ao agente de IA e pede dados a uma base de conhecimento conectada.
• O agente converte esse pedido numa consulta SQL direcionada para tabelas suportadas pelo PostgreSQL.
• O WeKnora analisa o SQL utilizando o pg_query_go e encaminha a árvore de análise através das funções validateSelectStmt e validateNode.
• Se a validação for bem-sucedida, a instrução resultante é executada com os privilégios de base de dados configurados para a aplicação.

Esta arquitetura só é viável se a percussão da AST for completa. A simples filtragem por palavras-chave é insuficiente, uma vez que o PostgreSQL permite que chamadas de funções perigosas sejam incorporadas em vários tipos de expressões e estruturas de contentores.

Uma Árvore de Sintaxe Abstrata (AST) é uma representação estruturada da lógica do código-fonte. No WeKnora, o analisador oficial do PostgreSQL, através da função `pg_query_go`, é utilizado para transformar consultas SQL em bruto numa árvore de nós. Isto permite que a aplicação analise os componentes estruturais de uma consulta, tais como referências a tabelas, chamadas de funções e expressões, em vez de depender da correspondência de padrões ou de expressões regulares, que muitas vezes podem ser contornadas.

Neste modelo, a segurança depende da capacidade da lógica de validação percorrer integralmente a AST e inspecionar todos os nós filhos relevantes. Se a percussão for incompleta, podem existir construções perigosas ocultas dentro de envolventes de expressões que o validador nunca chega a alcançar.

O WeKnora implementou um modelo de defesa em profundidade que incluía vários controlos de segurança: verificações de validade das entradas, análise de SQL, imposição de instruções únicas, restrições de apenas SELECT, validação de expressões recursivas, controlos de acesso a tabelas e bloqueio de funções perigosas. Individualmente, estas camadas eram sensatas. A falha ocorreu no ponto em que essas proteções dependiam umas das outras. Em particular, a fase de inspeção recursiva pressupunha uma cobertura completa das expressões filhas, mas a implementação anterior à versão 0.2.12 não satisfazia totalmente essa suposição.

A implementação do prefixo `validateNode` no WeKnora v0.2.11 tratava de uma lista extensa, mas incompleta, de tipos de nós AST do PostgreSQL. Ela percorria recursivamente tipos de nós como AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy e List. No entanto, após esses ramos explicitamente tratados, a função retornava nil. Qualquer nó de contêiner que não estivesse incluído nessa lógica de percurso tornava-se efetivamente um ponto cego, mesmo que ainda contivesse expressões filhas que exigissem validação.

Em termos gerais, o fluxo de trabalho da exploração consistia em introduzir clandestinamente chamadas de funções perigosas do PostgreSQL através de uma falha na validação da AST para aceder a primitivas capazes de permitir o acesso a ficheiros, o abuso de configurações e, por fim, a execução remota de código. O sucesso da exploração dependia de transformar o modelo num intermediário previsível para a invocação de ferramentas, reduzindo a ambiguidade na interpretação dos pedidos e garantindo que o SQL malicioso fosse entregue exatamente na estrutura esperada pela aplicação.

A lição subjacente não é apenas que a injeção de SQL era possível, mas que a percorrência parcial da AST comprometeu a barreira de segurança prevista como sendo apenas de leitura. Assim que uma chamada de função perigosa pudesse ser ocultada dentro de um contentor de expressões não visitado, várias proteções a jusante tornavam-se ineficazes.

A estratégia de exploração baseava-se na escolha de um modelo que seguisse as instruções de forma consistente e introduzisse uma interferência mínima durante a execução de ferramentas em várias etapas. Na prática, isto aumentou o determinismo e facilitou a preservação da estrutura exata da carga útil necessária para sustentar a cadeia de ataque. Do ponto de vista da segurança ofensiva, isto destaca uma preocupação mais ampla nos fluxos de trabalho baseados em IA: quando a saída do modelo é considerada fiável como intermediária em operações sensíveis em termos de segurança, a fiabilidade no cumprimento das instruções pode influenciar diretamente a vulnerabilidade ao ataque. 

Para melhorar a fiabilidade da execução ao longo de várias etapas interdependentes, a sequência de ataque aplicou várias técnicas de engenharia de prompts:

1. Restrição de prompts do sistema - Ao limitar o modelo a utilizar apenas ferramentas com ficheiros JSON fornecidos pelo utilizador, reduziu-se a sua tendência para reinterpretar ou sanitizar entradas maliciosas.
2. Encapsulamento JSON - O facto de envolver as cargas úteis em marcadores claramente definidos ajudou a preservar a estrutura exata da consulta.
3. Sequenciamento passo a passo - Uma sequência numerada incentivou o modelo a executar operações com estado na ordem pretendida.
4. Lógica básica de repetição de tentativas - Permitir uma nova tentativa em caso de falha reduziu a probabilidade de que erros transitórios interrompessem a cadeia de ataque.

Estas técnicas ilustram como o comportamento do modelo pode ser moldado para aumentar a fiabilidade da exploração quando os fluxos de trabalho baseados em LLM são integrados com plataformas de execução de backend.

Consulte o vídeo seguinte para uma demonstração pormenorizada do impacto significativo associado a esta vulnerabilidade:

As instruções a seguir foram fornecidas diretamente pelo utilizador ao agente para que a operação fosse executada. Note-se que os comandos envolvem explicitamente o código SQL no formato JSON exato esperado pelas ferramentas WeKnora.

Mensagem de verificação (Leitura de ficheiro):

Mensagem de aviso para carregar a configuração (Passos 1 e 2):

Solicitação de envio de bloco de carga útil (exemplo para o bloco 2):

Mensagem final de execução (Exportar e recarregar):

Para mitigar as vulnerabilidades acima referidas, certifique-se de que o seu sistema está atualizado para a versão mais recente do WeKnora.

OPSWAT MetaDefender Core, equipado com funcionalidadesavançadas de SBOM(Software of Materials), permite que as organizações adotem uma abordagem proativa na gestão de riscos de segurança. Ao analisar aplicações de software e as suas dependências, MetaDefender Core vulnerabilidades conhecidas, tais como CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 e CVE-2026-30247, nos componentes listados. Isto permite que as equipas de desenvolvimento e segurança priorizem os esforços de aplicação de patches, mitigando potenciais riscos de segurança antes que possam ser explorados por agentes maliciosos. 

Segue-se uma captura de ecrã das vulnerabilidades CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 e CVE-2026-30247, que foram detetadas pelo MetaDefender Core SBOM: