文章总结： ChainlitAI框架存在高危漏洞CVE-2026-22218与CVE-2026-22219，导致任意文件读取与服务器端请求伪造。攻击者可窃取API密钥及源代码，进而入侵云环境。鉴于其广泛应用，厂商已发布2.9.4版本修复。建议受影响组织立即升级至最新版本以阻断攻击链。 综合评分： 93 文章分类： AI安全,漏洞预警,漏洞分析,云安全,应用安全

Chainlit AI 框架漏洞导致黑客入侵云环境

Rhinoer Rhinoer

犀牛安全

2026年1月27日 00:00 北京

Chainlit 是一个流行的开源对话式 AI 应用构建框架，其中存在两个高危漏洞，允许读取服务器上的任何文件并泄露敏感信息。

Zafran Labs 的研究人员发现了名为“ChainLeak”的问题，这些问题无需用户交互即可被利用，并会影响“在多个行业（包括大型企业）中积极部署的面向互联网的 AI 系统”。

Chainlit AI 应用构建框架在 PyPI 注册表中平均每月下载量为 70 万次，每年下载量为 500 万次。

它为基于聊天功能的AI组件提供现成的Web用户界面、后端底层工具，并内置了身份验证、会话管理和云部署支持。它通常用于企业部署和学术机构，并应用于面向互联网的生产系统中。

Zafran 研究人员发现的两个安全问题是任意文件读取漏洞（编号为CVE-2026-22218）和服务器端请求伪造漏洞（编号为CVE-2026-22219 ） 。

CVE-2026-22218 可通过/project/element端点利用，攻击者可以提交带有受控“path”字段的自定义元素，强制 Chainlit 将该路径下的文件复制到攻击者的会话中，而无需进行验证。

这导致攻击者可以读取 Chainlit 服务器可访问的任何文件，包括 API 密钥、云帐户凭据、源代码、内部配置文件、SQLite 数据库和身份验证密钥等敏感信息。

CVE-2026-22219 影响使用 SQLAlchemy 数据层的 Chainlit 部署，攻击者通过设置自定义元素的“url”字段来利用此漏洞，强制服务器通过出站 GET 请求获取 URL 并存储响应。

研究人员表示，攻击者随后可以通过元素下载端点检索获取的数据，从而获得对内部 REST 服务的访问权限，并探测内部 IP 和服务。

Zafran 证明，这两个漏洞可以结合成一个单一的攻击链，从而实现对整个系统的入侵以及在云环境中的横向移动。

研究人员于 2025 年 11 月 23 日通知了 Chainlit 维护者这些缺陷，并于 2025 年 12 月 9 日收到了确认。

这些漏洞已于 2025 年 12 月 24 日通过 Chainlit版本 2.9.4的发布得到修复。

由于 CVE-2026-22218 和 CVE-2026-22219 的严重性和利用潜力，建议受影响的组织尽快升级到 2.9.4 或更高版本（最新版本为 2.9.6 ）。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《Chainlit AI 框架漏洞导致黑客入侵云环境》