Sono state scoperte vulnerabilità di sicurezza nel framework di intelligenza artificiale (AI) open-source Chainlit, che potrebbero consentire agli attaccanti di rubare dati sensibili e muoversi all’interno di un’organizzazione suscettibile. Il framework Chainlit è stato scaricato oltre 220.000 volte nell’ultima settimana e ha totalizzato 7,3 milioni di download fino ad oggi.
Dettagli delle vulnerabilità
Le vulnerabilità,denominate ChainLeak, potrebbe essere sfruttata per rubare chiavi API di ambienti cloud e file sensibili, o eseguire attacchi di frode di richiesta del lato server (SSRF) contro server che ospitano applicazioni AI. Le due vulnerabilità scoperte sono: CVE-2026-22218, che consente la lettura di file arbitrari, e CVE-2026-22219, che consente attacchi SSRF. Entrambe le vulnerabilità possono essere combinate per rubare dati sensibili, aumentare i privilegi e muoversi all’interno del sistema.
Risposta e soluzione
Dopo la divulgazione responsabile il 23 novembre 2025, entrambe le vulnerabilità sono state risolte da Chainlit nella versione 2.9.4, rilasciata il 24 dicembre 2025. importante notare che le organizzazioni devono essere caute nell’adozione di framework di intelligenza artificiale e componenti di terze parti, poiché possono introdurre nuove superfici di attacco e vulnerabilità note. Per mitigare i rischi, è consigliabile utilizzare versioni aggiornate dei framework e implementare misure di sicurezza come l’autenticazione e l’autorizzazione.
