
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa ujawnili krytyczną podatność w platformie Writer AI, która mogła prowadzić do przejęcia aktywnej sesji użytkownika pomiędzy odseparowanymi organizacjami. Problem dotyczył mechanizmu publicznego podglądu agentów i naruszał fundamentalną zasadę izolacji tenantów w modelu SaaS.
Luka, określana jako WriteOut, pokazała, że nawet pozornie pomocnicza funkcja typu live preview może stać się punktem wejścia do poważnego incydentu bezpieczeństwa. W praktyce wystarczało pojedyncze kliknięcie w spreparowany link, aby zalogowany użytkownik mógł nieświadomie przekazać swój kontekst sesyjny do środowiska kontrolowanego przez napastnika.
W skrócie
- Podatność dotyczyła funkcji publicznego podglądu agentów w Writer AI.
- Atak umożliwiał przejęcie tokenu sesyjnego zalogowanej ofiary po otwarciu linku preview.
- Problem miał charakter cross-tenant, więc atakujący nie musiał należeć do tej samej organizacji.
- Po przejęciu sesji możliwe było uzyskanie dostępu do danych, konfiguracji i potencjalnie uprawnień administracyjnych.
- Producent usunął lukę poprzez odcięcie ciasteczek sesyjnych od sandboxa i izolację preview w osobnym originie.
Kontekst / historia
Incydent został opisany jako załatana już podatność wysokiego ryzyka, zgłoszona przez zespół badawczy Sand Security Research. Problem dotyczył architektury podglądu aplikacji budowanych w ramach Writer Framework, a jego sednem nie był sam sandbox, lecz sposób przekazywania ruchu sesyjnego użytkownika do środowiska preview.
To istotny sygnał ostrzegawczy dla całego rynku platform agentowych i narzędzi GenAI. Funkcje współdzielenia podglądu, testowania agentów i uruchamiania kodu w czasie rzeczywistym są projektowane z myślą o wygodzie, ale bez jednoznacznego rozdzielenia granic zaufania mogą doprowadzić do naruszenia separacji między klientami usługi.
Analiza techniczna
Łańcuch ataku był stosunkowo prosty. Napastnik tworzył własnego agenta w Writer AI, aktywował funkcję live preview i udostępniał publiczny link do podglądu. Jeśli ofiara była w tym czasie zalogowana do platformy i otworzyła taki adres, jej przeglądarka dołączała aktywne cookie sesyjne do żądania związanego z preview.
Następnie warstwa proxy obsługująca podgląd przekazywała sesję do sandboxa uruchamiającego kod agenta. W tym miejscu dochodziło do złamania modelu izolacji. Kod wykonywany w środowisku kontrolowanym przez atakującego mógł odczytać przekazany token i wyprowadzić go poza platformę. Po ponownym użyciu tokenu możliwe było odtworzenie sesji ofiary.
Nie był to klasyczny przypadek XSS ani prosty wyciek ciasteczek w przeglądarce. Problem miał charakter architektoniczny i obejmował jednocześnie mechanizm uwierzytelniania, warstwę proxy, środowisko sandbox oraz politykę separacji tenantów. Dodatkowo istniejące zabezpieczenia koncentrowały się głównie na analizie instrukcji przekazywanych agentowi, a nie na realnym zachowaniu kodu podczas wykonania.
W efekcie złośliwa logika mogła zostać pobrana zdalnie i uruchomiona już po przejściu filtrów wejściowych. Producent usunął podatność przez zablokowanie przekazywania ciasteczek sesyjnych użytkownika do sandboxowych podglądów oraz przeniesienie mechanizmu preview do odizolowanego originu.
Konsekwencje / ryzyko
Ryzyko związane z tą luką było bardzo wysokie, ponieważ atak miał charakter one-click i nie wymagał wcześniejszego dostępu do środowiska ofiary. Co szczególnie istotne, atakujący i ofiara nie musieli działać w ramach tej samej organizacji, co zwiększało realność scenariusza kompromitacji cross-tenant.
Potencjalne skutki obejmowały dostęp do prywatnych rozmów, dokumentów, konfiguracji agentów, modeli, konektorów oraz poświadczeń wykorzystywanych do integracji z innymi usługami. W środowiskach korporacyjnych taki dostęp może prowadzić do dalszej eskalacji uprawnień, ruchu bocznego, kradzieży własności intelektualnej i nadużyć administracyjnych.
Incydent podważa również zaufanie do modelu współdzielonej odpowiedzialności. Nawet jeśli organizacja poprawnie zarządza własnymi politykami bezpieczeństwa, słaba izolacja tenantów po stronie dostawcy może pozostawić krytyczne ryzyko poza bezpośrednią kontrolą klienta.
Rekomendacje
Organizacje korzystające z platform agentowych i rozwiązań GenAI powinny traktować funkcje preview, sandbox execution i publiczne linki współdzielenia jako obszary podwyższonego ryzyka.
- Ograniczyć lub wyłączyć publiczne linki do podglądów, jeśli nie są niezbędne.
- Wymusić pełną separację sesji między główną aplikacją a komponentami preview.
- Stosować odrębne originy, tokeny krótkotrwałe oraz brak współdzielonych cookies.
- Regularnie przeglądać architekturę sandboxów pod kątem dostępu do sekretów, pamięci procesu i artefaktów sesyjnych.
- Monitorować użycie sesji pod kątem anomalii geograficznych, odtworzeń tokenów i nagłych zmian ról.
- Wdrażać minimalne uprawnienia dla kont administracyjnych, agentów i integracji.
- Rotować tokeny, sekrety integracyjne i dane uwierzytelniające powiązane z konektorami.
- Wymagać od dostawców dokumentacji dotyczącej izolacji tenantów i ochrony sesji.
- Testować funkcje agentowe pod kątem złożonych ataków łączących zdalny kod, prompt injection i nadużycia runtime.
Z perspektywy producentów kluczowe jest rozszerzenie modelu ochrony poza samo filtrowanie wejścia. Bezpieczeństwo powinno obejmować również zachowanie kodu w runtime, polityki sieciowe, ochronę tokenów oraz twarde granice między tenantami.
Podsumowanie
WriteOut to ważne ostrzeżenie dla rynku AI i SaaS. Pokazuje, że najpoważniejsze zagrożenia coraz częściej nie wynikają z pojedynczego błędu programistycznego, lecz z niebezpiecznych interakcji między sesją użytkownika, sandboxem i mechanizmem uruchamiania agentów.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że platformy agentowe należy oceniać z taką samą surowością jak systemy przetwarzające dane uprzywilejowane. Szczególnej uwagi wymagają funkcje live preview, publiczne linki i wszystkie mechanizmy działające na styku przeglądarki, sesji i środowiska wykonawczego.
Źródła
- Writer AI Flaw Could Let Agent Previews Leak Session Tokens Across Tenants — https://thehackernews.com/2026/07/writer-ai-flaw-could-let-agent-previews.html
- Builder basics – Writer AI Studio — https://dev.writer.com/framework/builder-basics