В платформе Cybersecurity AI (CAI), которая используется для защиты и контроля систем искусственного интеллекта, нашли критическую уязвимость CVE-2026-25130. Оценка 9,6 из 10. По сути это история про удаленное выполнение команд на сервере, когда защита обходится не хитрым взломом, а тем, что сама платформа доверяет пользовательскому вводу больше, чем должна.
Проблема заключается в механизме запуска команд в CAI. В одном из компонентов используется механизм, который передает текст в командную оболочку буквально как есть, без достаточной проверки. Разработчики считали, что они в безопасности, потому что команда find относится к списку одобренных. Она действительно выглядит безобидно: найти файл по пути, вывести результат.
Но у команды find есть режим, который превращает ее в инструмент выполнения команд. Если вместо обычных параметров подменить специальные аргументы, например вариант с выполнением действий над найденными файлами, оболочка начнет исполнять то, что ей передали. И в этот момент CAI работает как “проводник” для чужой команды.
Пользователь просит агента найти файл, а система формирует команду вида:
f'find {file path} {args}'
Если в аргументах оказывается не поиск, а команда, которую оболочка умеет выполнить, то CAI запускает ее с правами своего процесса. Важный момент: платформа не спрашивает дополнительного подтверждения, потому что считает find безопасной операцией. Именно так обходятся встроенные механизмы контроля, которые должны останавливать опасные действия.
Уязвимость затрагивает все версии CAI до 0.5.10 включительно. Для атаки нужен удаленный доступ к системе и возможность спровоцировать выполнение запроса. Авторизация при этом не требуется, а сложность считается низкой.
После успешной эксплуатации злоумышленник получает возможность читать конфиденциальные данные, менять или удалять файлы и использовать сервер как точку входа для дальнейшего продвижения в сети.
Разработчики уже выпустили патч. Исправление доступно в репозитории проекта (коммит: e22a1220f764e2d7cf9da6d6144926f53ca01cde). Всем пользователям фреймворка CAI рекомендуется срочно обновиться до версии, выше 0.5.10, или применить патч вручную.
