Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Dify to otwartoźródłowa platforma klasy LLMOps, wykorzystywana do budowy, wdrażania i monitorowania aplikacji opartych na sztucznej inteligencji. Ujawnione podatności pokazały jednak, że w środowiskach wielodostępnych platformy występowały błędy umożliwiające naruszenie izolacji między tenantami, co mogło prowadzić do nieautoryzowanego dostępu do prywatnych konwersacji, dokumentów i zasobów API.
Problem jest istotny, ponieważ platformy AI coraz częściej przetwarzają dane biznesowe, operacyjne i poufne informacje użytkowników. W takim modelu nawet pojedynczy błąd autoryzacji może skutkować szerokim incydentem bezpieczeństwa.
W skrócie
W Dify zidentyfikowano cztery luki związane z ekspozycją danych i kontrolą uprawnień. Błędy mogły umożliwiać odczyt prywatnych czatów innych klientów, podgląd dokumentów przesłanych przez inne podmioty, wykonywanie wewnętrznych wywołań API między tenantami oraz pobieranie plików należących do innych użytkowników.
- naruszenie separacji danych między tenantami,
- ryzyko trwałej eksfiltracji wiadomości i odpowiedzi modeli,
- możliwość nadużycia mechanizmów plugin daemon,
- błędy kontroli dostępu do plików i dokumentów,
- poprawki udostępnione w wersji 1.14.2.
Kontekst i historia
Rosnąca popularność platform do tworzenia aplikacji generatywnej AI sprawia, że bezpieczeństwo warstw orkiestracji, integracji i monitorowania staje się równie ważne jak bezpieczeństwo samych modeli. Dify jest wykorzystywane na szeroką skalę i według opublikowanych informacji wspiera ponad milion aplikacji, co znacząco podnosi wagę każdego błędu związanego z izolacją danych.
Ujawnione problemy dotyczyły kilku komponentów platformy, w tym funkcji tracingu, demona obsługującego wtyczki oraz mechanizmów identyfikacji i autoryzacji przy dostępie do plików. Dodatkowo zwrócono uwagę na historyczne wykorzystanie podatnej wersji komponentu PDFium w mechanizmie podglądu dokumentów PDF.
Analiza techniczna
Najpoważniejsza z luk, oznaczona jako CVE-2026-41947, dotyczyła funkcji tracingu służącej do profilowania i monitorowania aplikacji AI. Brak właściwej walidacji przynależności tenantów w odpowiednich endpointach pozwalał użytkownikowi konsoli wysyłać żądania dotyczące dowolnej aplikacji dostępnej w instancji. W praktyce mogło to prowadzić do ustanowienia trwałego kanału przechwytywania wiadomości oraz odpowiedzi przetwarzanych przez aplikację.
Druga podatność, CVE-2026-41948, była związana z komponentem plugin daemon. Mechanizm ten umożliwiał dostęp do arbitralnych endpointów API z użyciem metod GET i POST. Taki scenariusz mógł sprzyjać atakom path traversal, pobieraniu ikon wtyczek należących do innych tenantów oraz wpływaniu na środowiska innych klientów.
Kolejne błędy, CVE-2026-41949 oraz CVE-2026-41950, wynikały z nieprawidłowej obsługi identyfikatorów plików i niewystarczającej kontroli dostępu. Pozwalało to na podgląd plików przesłanych przez inne tenanty albo pobieranie plików należących do innych użytkowników działających w obrębie tego samego tenanta. To klasyczny przykład kategorii broken access control oraz insecure direct object reference.
Dodatkowym elementem ryzyka był moduł podglądu dokumentów PDF. Ujawniono, że do 21 grudnia 2025 roku endpoint odpowiedzialny za preview PDF korzystał z wersji PDFium powiązanej z wcześniej opisaną luką CVE-2024-5846 typu use-after-free. Choć nie był to główny element bieżącego zestawu podatności, pokazuje on problem długotrwałego utrzymywania zależności zawierających znane błędy bezpieczeństwa.
Konsekwencje i ryzyko
Najważniejszym skutkiem opisanych luk jest ryzyko naruszenia poufności danych przetwarzanych przez aplikacje AI. Mogą to być prompty, odpowiedzi modeli, dokumenty przesyłane do analizy, dane klientów, a także informacje wrażliwe wykorzystywane w procesach wewnętrznych organizacji.
W architekturze multi-tenant wpływ takich błędów jest szczególnie niebezpieczny, ponieważ pojedyncza luka logiczna może naruszyć granice między wieloma organizacjami korzystającymi z tej samej infrastruktury. Co istotne, część scenariuszy nie wymagała zaawansowanej eksploitacji, lecz jedynie wykorzystania niewłaściwej autoryzacji i słabej walidacji kontekstu najemcy.
Dla firm korzystających z Dify potencjalne konsekwencje obejmują incydenty naruszenia danych, problemy z zgodnością regulacyjną, konieczność notyfikacji, straty reputacyjne oraz ryzyko zakłócenia działania procesów biznesowych opartych na AI.
Rekomendacje
Organizacje korzystające z Dify powinny niezwłocznie zweryfikować używaną wersję platformy i przejść na wydanie 1.14.2 lub nowsze. Sama aktualizacja nie powinna jednak kończyć procesu reagowania.
- przeprowadzić przegląd logów pod kątem nietypowych żądań do funkcji tracingu, preview plików i plugin daemon,
- sprawdzić, czy nie występowały nieautoryzowane odwołania między tenantami oraz anomalie w pobieraniu plików,
- wdrożyć reguły WAF lub reverse proxy blokujące podejrzane wzorce dostępu do wewnętrznych endpointów,
- ograniczyć liczbę kont konsolowych i zrewidować uprawnienia administracyjne,
- przeprowadzić audyt mechanizmów kontroli dostępu do plików, dokumentów i zasobów aplikacji AI,
- zweryfikować zewnętrzne zależności pod kątem znanych CVE,
- rozważyć dodatkową segmentację środowisk dla najbardziej wrażliwych wdrożeń.
Z perspektywy bezpieczeństwa warto też traktować platformy AI jako pełnoprawny element powierzchni ataku. Oznacza to potrzebę ciągłego monitoringu, regularnych testów autoryzacji, sprawdzania izolacji tenantów i aktywnego zarządzania podatnościami.
Podsumowanie
Przypadek Dify pokazuje, że bezpieczeństwo ekosystemu AI zależy nie tylko od modeli i jakości danych, ale również od poprawności mechanizmów kontroli dostępu, separacji tenantów oraz bezpieczeństwa komponentów pomocniczych. Cztery ujawnione podatności tworzyły realne ryzyko eksfiltracji danych pomiędzy klientami i użytkownikami platformy.
Dla organizacji najważniejsze są obecnie trzy działania: szybka aktualizacja, analiza śladów potencjalnego wykorzystania oraz przegląd architektury ochrony danych w środowiskach AI. To właśnie warstwa operacyjna i integracyjna coraz częściej staje się najsłabszym ogniwem nowoczesnych wdrożeń sztucznej inteligencji.
Źródła
- SecurityWeek — Data Exposure Flaws Threaten Dify AI Platform Used by 1 Million Apps — https://www.securityweek.com/data-exposure-flaws-threaten-dify-ai-platform-powering-over-1-million-apps/