Критична уязвимост в SGLang позволява изпълнение на код чрез зловредни AI модели

Уязвимост в SGLang показва как моделни файлове могат да се превърнат в канал за атака и изпълнение на код в AI среди.

Открита е критична уязвимост в SGLang – open-source framework за работа с големи езикови модели (LLM), която може да доведе до отдалечено изпълнение на код. Уязвимостта е обозначена като CVE-2026-5760 и има оценка 9.8 по CVSS.

Проблемът засяга среди, в които се използват външни или публично достъпни AI модели без строг контрол върху тяхното съдържание.

Как работи атаката

Тук атаката не идва от класически вход към системата, а от самия модел.

Основният сценарий:

• атакуващ създава зловреден GGUF модел
• в него се вгражда специално подготвен шаблон
• моделът се разпространява чрез публични източници
• жертвата го зарежда в SGLang
• при обработка на заявка шаблонът се изпълнява
• това води до изпълнение на произволен код на сървъра

Причината е липсата на sandbox при обработката на шаблони, което позволява директно изпълнение на Python код.

Защо е важно

Тази уязвимост показва нов тип риск, характерен за AI системите.

• моделите се приемат като доверен ресурс
• често се изтеглят от външни източници
• изпълняват се в среди с високи права
• не се анализират като потенциално опасни

Това превръща модела от данни в активен компонент с потенциал за атака.

Потенциален ефект

Успешна експлоатация може да доведе до:

• пълен контрол върху сървъра
• достъп до чувствителни данни
• компрометиране на AI процеси
• разпространение на атаката в инфраструктурата

Рискът е особено висок при автоматизирани AI pipeline-и.

Ограничаване на риска

Препоръчителни мерки:

• използване само на проверени модели
• валидиране на съдържанието на моделите
• изолиране на AI средите
• ограничаване на правата за изпълнение
• наблюдение на поведението на системата

Моделите трябва да се третират като изпълним код, не като обикновени файлове.

DIAMATIX перспектива

Тази уязвимост ясно показва накъде се движи сигурността при AI.

Рискът вече не е само в кода на приложението. Той е в данните, които се изпълняват като код.

Това означава:

• нови supply chain рискове
• по-трудна детекция
• необходимост от поведенчески анализ

Подходът на DIAMATIX е да осигури видимост и контрол върху реалното поведение на системите, независимо дали заплахата идва от код или от данни.

Източници

• CERT Coordination Center (CERT/CC) – официално предупреждение
• Публични технически анализи и изследвания
• Документация на SGLang и Jinja2