AI 平台同样面临安全风险：Unit 515 在 WeKnora 中发现多个严重级别的远程代码执行漏洞

人工智能平台正迅速成为现代生产工作流不可或缺的一部分，但创新并不能消除安全风险。与传统应用程序一样，原生人工智能平台依然面临着常见的漏洞类型，而且随着大型语言模型（LLM）的调度、文档摄取、外部工具集成以及后端服务之间的互联程度日益加深，在许多情况下还会引入新的攻击面。随着这些平台承担更多涉及安全敏感性的功能，实施过程中的薄弱环节可能会迅速演变为影响重大的安全问题。

腾讯WeKnora是一个基于大型语言模型（LLM）的开源框架，专用于深度文档理解和语义检索，旨在帮助组织构建知识库和AI智能代理，从而从复杂且异构的数据中生成具有上下文意识的答案。 通过整合文档处理、检索、智能代理驱动的工作流以及与外部能力的集成，WeKnora不仅能够实现强大的AI驱动型知识运营，同时也建立了对安全性敏感的信任边界，在连接后端系统和执行路径时，需要进行审慎评估。

在 WeKnora 中发现的漏洞分布于多个功能领域，而非集中于单一组件。 Quan发现的问题包括远程代码执行、服务器端请求伪造以及访问控制缺陷，其影响范围从内部资源访问到跨租户安全漏洞，乃至后端代码执行。从防御角度来看，这项研究凸显了一个更广泛的架构问题：当允许AI工作流在可信边界之外生成查询、调用工具或处理受攻击者影响的输入时，相对较小的实现缺陷可能会演变为影响深远的安全后果。

已发现的漏洞总结如下：

• CVE-2026-30860：AI 数据库查询工具中的 SQL 注入绕过漏洞导致的远程代码执行
• CVE-2026-30861：MCP Stdio 配置验证中的命令注入漏洞导致远程代码执行
• CVE-2026-30859：访问控制缺陷导致跨租户数据泄露
• CVE-2026-30858：web_fetch 中的 DNS 重绑定漏洞，可能导致对内部资源的 SSRF 攻击
• CVE-2026-30857：未经授权的跨租户知识库克隆
• CVE-2026-30856：MCP 客户端中因命名模糊导致的工具执行劫持及间接提示符注入
• CVE-2026-30855：租户管理中的访问控制缺陷
• CVE-2026-30247：通过重定向引发的SSRF漏洞

综合来看，这些研究结果表明，必须以评估任何现代软件堆栈同样严格的标准来评估原生AI平台，特别是在用户控制或模型生成的输入可能影响涉及安全敏感的后端行为的情况下。

在已披露的八个漏洞中，CVE-2026-30860因其技术影响重大而尤为引人注目。 该漏洞影响了 WeKnora 的 AI 数据库查询功能，该功能可将自然语言请求转换为 SQL 查询，并在连接的 PostgreSQL 数据源上执行。在此工作流中，应用程序试图通过 SQL 解析和基于 AST 的验证来建立防御边界，然后才允许执行。然而，该验证逻辑的实现并不完善。 

该存在漏洞的执行路径可以精确描述如下：

• 用户提示发送至 AI 代理，并请求从关联的知识库中获取数据。
• 该代理将该请求转换为针对基于 PostgreSQL 的表的 SQL 语句。
• WeKnora 使用pg_query_go解析 SQL 语句，并将解析树传递给 validateSelectStmt 和 validateNode 进行验证。
• 如果验证成功，则会使用为该应用程序配置的数据库权限执行生成的语句。

只有在完成抽象语法树（AST）遍历的情况下，这种架构才可行。简单的关键字过滤是不够的，因为 PostgreSQL 允许在多种表达式类型和容器结构中嵌入危险的函数调用。

抽象语法树（AST）是对源代码逻辑的一种结构化表示。在 WeKnora 中，通过pg_query_go 调用 PostgreSQL 的官方解析器，将原始 SQL 查询转换为节点树。这使得应用程序能够检查查询的结构组件，例如表引用、函数调用和表达式，而不是依赖于往往容易被绕过的模式匹配或正则表达式。

在此模型中，安全性取决于验证逻辑能否完全遍历抽象语法树（AST）并检查每个相关的子节点。如果遍历不完整，危险的构造可能会隐藏在表达式包装器中，而验证器永远无法触及这些包装器。

WeKnora 实现了一种深度防御模型，其中包含多项安全控制措施：输入有效性检查、SQL 解析、单语句强制执行、仅限 SELECT 语句的限制、递归表达式验证、表访问控制以及危险函数阻断。 单独来看，这些防护层都设计合理。故障发生在这些防护措施相互依赖的环节。具体而言，递归检查阶段假设对子表达式实现了完全覆盖，但 0.2.12 版本之前的实现并未完全满足这一假设。

WeKnora v0.2.11 中的 validateNode 前缀实现处理了一份冗长但不完整的 PostgreSQL AST 节点类型列表。它会递归遍历 AExpr、BoolExpr、NullTest、CoalesceExpr、CaseExpr、ResTarget、SortBy 和 List 等节点类型。 然而，在处理完这些显式支持的分支后，该函数会返回 nil。任何未被该遍历逻辑涵盖的容器节点，实际上都成了盲点，即使其中仍包含需要验证的子表达式。

从宏观层面来看，该漏洞利用流程涉及通过AST验证漏洞，将危险的PostgreSQL函数调用“走私”进入系统，从而调用能够访问文件、滥用配置并最终实现远程代码执行的底层操作。成功利用该漏洞的关键在于：将该模型转化为可预测的工具调用中介，减少请求解析过程中的模糊性，并确保恶意SQL以应用程序预期确切的结构进行传递。

其背后的教训不仅在于SQL注入是可能发生的，更在于部分AST遍历破坏了预期的只读安全边界。一旦危险的函数调用被隐藏在未访问的表达式容器中，下游的多重防护措施便会失效。

该利用策略的关键在于选择一个能够始终如一地执行指令，且在多步骤工具执行过程中干扰极小的模型。在实际操作中，这增强了确定性，并使我们更容易保留维持攻击链所需的精确有效载荷结构。从攻击性安全角度来看，这凸显了人工智能驱动的工作流中一个更广泛的隐患：当模型输出被作为安全敏感操作的中介而受到信任时，其遵循指令的可靠性将直接影响系统的可利用性。 

为了提高多个相互依赖步骤的执行可靠性，该攻击序列采用了多种提示工程技术：

1. 系统提示限制——通过强制模型仅使用用户提供的 JSON 调用工具，降低了其重新解释或清理恶意输入的倾向。
2. JSON 封装——将有效载荷封装在明确定义的标记中，有助于保留精确的查询结构。
3. 分步执行- 通过编号序列，促使模型按预期顺序执行带状态的操作。
4. 基本重试逻辑——允许在失败时重试，从而降低了临时性错误导致攻击链中断的可能性。

这些技术展示了如何通过调整模型行为，在将大型语言模型驱动的工作流与后端执行环境集成时，提高利用的可靠性。

请参阅以下视频，详细了解与此漏洞相关的重大影响：

以下提示是由用户直接提供给代理以实现操作执行的。请注意，这些命令明确地将 SQL 包裹在 WeKnora 工具所期望的精确 JSON 格式中。

验证提示（文件读取）：

配置上传提示（步骤 1 和 2）：

有效载荷分块上传提示（分块 2 的示例）：

最终执行提示（导出并重新加载）：

为缓解上述讨论的漏洞风险，请确保您的系统已更新至 WeKnora 的最新版本。

OPSWAT MetaDefender Core配备先进的 SBOM（Software 物料Software ）功能，使组织能够采取主动措施应对安全风险。 通过扫描软件应用程序及其依赖项MetaDefender Core 已知漏洞，例如 CVE-2026-30860、CVE-2026-30861、CVE-2026-30855、CVE-2026-30856、CVE-2026-30857、 CVE-2026-30858、CVE-2026-30859 和 CVE-2026-30247。这使开发和安全团队能够优先安排补丁修复工作，在恶意攻击者利用这些漏洞之前，有效缓解潜在的安全风险。 

下图是 CVE-2026-30860、CVE-2026-30861、CVE-2026-30855、CVE-2026-30856、CVE-2026-30857、 CVE-2026-30858、CVE-2026-30859 和 CVE-2026-30247 的屏幕截图，这些漏洞是由MetaDefender Core SBOM 检测到的：