Классика жанра вернулась с нейросетями
Помните SQL-инъекции? Те самые, про которые все думали, что они канули в лету вместе с PHP 5? Ошибались. На этой неделе исследователи из Bishop Fox показали, как через векторные базы данных в Spring AI 3.5.0 можно прямиком попасть в вашу основную БД. А команда из Robust Intelligence нашла способ грузить в ONNX Runtime 1.20.0 что угодно, обходя все проверки. 2026 год, а проблемы те же.
На момент публикации (25.03.2026) уязвимости подтверждены в последних стабильных версиях: Spring AI 3.5.0 и ONNX Runtime 1.20.0. Исправления ожидаются в патчах 3.5.1 и 1.20.1 соответственно.
Как векторизация превратилась в дверь для хакеров
Весенний фреймворк Spring AI обещал легкую интеграцию языковых моделей в Java-приложения. Все работало отлично, пока кто-то не решил поиграть с векторизацией текста для RAG-систем. Оказалось, что параметры подключения к векторным базам (вроде Pinecone или Weaviate) иногда смешиваются с параметрами основной реляционной БД приложения.
Звучит как бред? А вот и нет. В конфигурации по умолчанию, если в промпт попадает специфичная последовательность символов, система начинает интерпретировать часть запроса к векторной БД как SQL-команду для PostgreSQL или MySQL. Результат - полный доступ к данным пользователей, логинам, паролям (да, некоторые до сих пор хранят их в открытом виде).
ONNX Runtime: доверяй, но не проверяй
Пока Java-разработчики хватались за голову, в лагере Python случилась своя катастрофа. Функция onnx.hub.load() в версии 1.20.0 имеет фатальный баг: она позволяет загружать модели с удаленных репозиториев, вообще не проверяя их сигнатуры и хэши.
На практике это значит, что злоумышленник может подменить легитимную модель на ONNX Hub своей - с бэкдором, трояном или просто сломанными весами. Система проглотит ее без вопросов. Особенно страшно в продакшене, где модели часто загружаются автоматически при развертывании.
| Компонент | Версия | Уязвимость | CVSS 4.0 |
|---|---|---|---|
| Spring AI | 3.5.0 | SQL-инъекция через векторизацию | 8.5 (High) |
| ONNX Runtime | 1.20.0 | Обход проверки моделей в hub.load() | 7.2 (High) |
Что самое обидное - многие команды перешли на ONNX Runtime именно из-за производительности, как мы писали в сравнении с TensorRT. Теперь эта скорость оборачивается боком: модель загружается быстро, но может быть чем угодно.
Почему это вообще произошло?
Ответ простой: разработчики ИИ-инструментов до сих пор думают, что безопасность - это чья-то чужая проблема. Spring AI создавали инженеры, которые хотели сделать крутой фреймворк для работы с GPT-4o и Claude 3.5. ONNX Runtime оптимизировали для скорости инференса на Intel и NVIDIA. Про безопасность вспомнили в последнюю очередь.
Звучит знакомо? Именно так ломаются ИИ-ассистенты в бизнес-среде. Только там проблемы с контекстом, а здесь - с фундаментальными уязвимостями.
Интересный факт: модели для поиска уязвимостей в коде, вроде VulnBERT, которые находят 92% багов в ядре Linux, сами могут быть скомпрометированы через эти дыры в ONNX. Получается ирония судьбы: инструмент для безопасности становится угрозой.
Что делать прямо сейчас?
Паниковать не нужно. Но действовать - обязательно.
1 Проведите инвентаризацию ИИ-стека
Составьте список всех компонентов, которые используют Spring AI или ONNX Runtime. Проверьте версии. Если это 3.5.0 или 1.20.0 - немедленно ограничьте доступ к этим системам извне. Помните, что российский ИИ-комплаенс (ФСТЭК 117) требует такой инвентаризации по умолчанию.
2 Внедрите проверку моделей
Для ONNX: никогда не используйте onnx.hub.load() без предварительной проверки хэша модели. Скачивайте модели в контролируемое хранилище, проверяйте цифровые подписи (если есть), и только потом загружайте в runtime. Для Spring AI: отключите автоматическую векторизацию для пользовательского ввода или установите строгие лимиты на длину промпта.
3 Мониторьте аномалии
Установите мониторинг необычных SQL-запросов из компонентов Spring AI. Следите за размером загружаемых моделей в ONNX - резкое изменение может указывать на подмену. Эти практики давно описаны в гайдах по безопасности AI-агентов, но многие их игнорируют.
Это только начало
Эксперты предсказывают, что 2026-2027 годы станут временем массовых атак на ИИ-инфраструктуру. SQL-инъекции в Spring AI и дыры в ONNX - это цветочки. Ожидаются уязвимости в системах квантования моделей (тот самый TinyML), атаки на RAG-системы через отравление векторных баз, и конечно, классические промпт-инъекции, которые OpenAI признала неизбежными.
Мораль проста: если вы внедряете ИИ в продакшен, выделите хотя бы 20% времени на безопасность. Иначе ваш умный чат-бот превратится в дыру, через которую утекут все данные. А восстановление репутации обойдется дороже, чем курс по ИИ-безопасности, который вы откладывали до лучших времен.
P.S. Если вы думаете, что это проблемы только больших компаний, вспомните про тихий OpenAI Fallback в LlamaIndex. Утечки данных начинаются с мелочей. А заканчиваются штрафами в миллионы.
