KI-Plattformen sind nicht vor Sicherheitsrisiken gefeit: Unit 515 deckt mehrere RCE-Schwachstellen mit kritischem Schweregrad in WeKnora auf

KI-Plattformen werden zunehmend zu einem festen Bestandteil moderner Produktionsabläufe, doch Innovation beseitigt Sicherheitsrisiken nicht. Wie herkömmliche Anwendungen sind auch KI-native Plattformen weiterhin bekannten Arten von Schwachstellen ausgesetzt und schaffen in vielen Fällen neue Angriffsflächen, da die Koordination von großen Sprachmodellen (LLM), die Dokumentenerfassung, die Integration externer Tools und Backend-Dienste immer stärker miteinander vernetzt werden. Da diese Plattformen zunehmend sicherheitskritische Funktionen übernehmen, können Schwachstellen in der Implementierung schnell zu schwerwiegenden Sicherheitsproblemen eskalieren.

Tencent WeKnora ist ein Open-Source-Framework auf Basis großer Sprachmodelle (LLM) für tiefgreifendes Dokumentenverständnis und semantische Suche, das Unternehmen dabei unterstützt, Wissensdatenbanken und KI-Agenten zu erstellen, die aus komplexen und heterogenen Daten kontextbezogene Antworten generieren. Durch die Kombination von Dokumentenverarbeitung, Abruf, agentengesteuerten Workflows und der Integration mit externen Funktionen ermöglicht WeKnora leistungsstarke KI-gesteuerte Wissensprozesse, schafft aber auch sicherheitsrelevante Vertrauensgrenzen, die bei der Anbindung an Backend-Systeme und Ausführungspfade eine sorgfältige Bewertung erfordern.

Die in WeKnora identifizierten Schwachstellen verteilten sich auf mehrere Funktionsbereiche und waren nicht auf eine einzelne Komponente beschränkt. Zu den von Quan entdeckten Problemen gehörten die Ausführung von Remote-Code, serverseitige Request-Forgery und fehlerhafte Zugriffskontrolle, deren Auswirkungen vom Zugriff auf interne Ressourcen bis hin zur Kompromittierung mehrerer Mandanten und der Ausführung von Backend-Code reichten. Aus defensiver Sicht hob die Untersuchung ein allgemeineres architektonisches Problem hervor: Wenn KI-Workflows Abfragen generieren, Tools aufrufen oder von Angreifern beeinflusste Eingaben über vertrauenswürdige Grenzen hinweg verarbeiten dürfen, können relativ kleine Implementierungsfehler zu schwerwiegenden Sicherheitsfolgen eskalieren.

Die festgestellten Schwachstellen sind im Folgenden zusammengefasst:

• CVE-2026-30860: Ausführen von Remote-Code durch Umgehung der SQL-Injection-Sicherheit im AI-Datenbankabfrage-Tool
• CVE-2026-30861: Remote-Codeausführung durch Befehlsinjektion bei der Konfigurationsvalidierung von MCP Stdio
• CVE-2026-30859: Fehlerhafte Zugriffskontrolle, die zur Offenlegung von Daten über Mandantengrenzen hinweg führt
• CVE-2026-30858: DNS-Rebinding in „web_fetch“ ermöglicht SSRF auf interne Ressourcen
• CVE-2026-30857: Unbefugtes Klonen der Wissensdatenbank über Mandantengrenzen hinweg
• CVE-2026-30856: Missbrauch der Tool-Ausführung durch mehrdeutige Benennung im MCP-Client und indirekte Eingabeaufforderungsinjektion
• CVE-2026-30855: Fehlerhafte Zugriffskontrolle in der Mandantenverwaltung
• CVE-2026-30247: SSRF durch Weiterleitung

Zusammengenommen zeigen diese Erkenntnisse, dass KI-native Plattformen mit derselben Sorgfalt geprüft werden müssen wie jeder moderne Software-Stack, insbesondere wenn benutzergesteuerte oder modellgenerierte Eingaben das sicherheitsrelevante Verhalten des Backends beeinflussen können.

Unter den acht bekannt gegebenen Sicherheitslücken stichtCVE-2026-30860als eine der technisch bedeutendsten hervor. Das Problem betraf die KI-Datenbankabfragefunktion von WeKnora, bei der Anfragen in natürlicher Sprache in SQL-Abfragen übersetzt und auf einer verbundenen PostgreSQL-Datenquelle ausgeführt werden konnten. In diesem Arbeitsablauf versuchte die Anwendung, vor der Ausführung durch SQL-Parsing und AST-basierte Validierung eine Schutzgrenze durchzusetzen. Die Implementierung dieser Validierungslogik war jedoch unvollständig. 

Der anfällige Ausführungsweg lässt sich genau beschreiben:

• Eine Benutzeranfrage erreicht den KI-Agenten und fordert Daten aus einer verbundenen Wissensdatenbank an.
• Der Agent wandelt diese Anfrage in eine SQL-Anweisung um, die auf die von PostgreSQL unterstützten Tabellen abzielt.
• WeKnora analysiert die SQL-Anweisung mithilfe von pg_query_go und leitet den Parsebaum an die Funktionen validateSelectStmt und validateNode weiter.
• Wenn die Validierung erfolgreich ist, wird die resultierende Anweisung mit den für die Anwendung konfigurierten Datenbankberechtigungen ausgeführt.

Diese Architektur kann nur dann funktionieren, wenn die AST-Durchquerung vollständig ist. Ein einfaches Filtern nach Schlüsselwörtern reicht nicht aus, da PostgreSQL die Einbettung gefährlicher Funktionsaufrufe in verschiedene Ausdrucksarten und Containerstrukturen zulässt.

Ein abstrakter Syntaxbaum (AST) ist eine strukturierte Darstellung der Logik von Quellcode. In WeKnora wird der offizielle PostgreSQL-Parser über pg_query_go verwendet, um rohe SQL-Abfragen in einen Baum aus Knoten umzuwandeln. Dadurch kann die Anwendung die strukturellen Komponenten einer Abfrage untersuchen, wie beispielsweise Tabellenverweise, Funktionsaufrufe und Ausdrücke, anstatt sich auf Musterabgleich oder reguläre Ausdrücke zu verlassen, die oft umgangen werden können.

In diesem Modell hängt die Sicherheit davon ab, ob die Validierungslogik den AST vollständig durchlaufen und jeden relevanten untergeordneten Knoten überprüfen kann. Ist der Durchlauf unvollständig, können gefährliche Konstrukte in Ausdrucks-Wrappern verborgen bleiben, die der Validator niemals erreicht.

WeKnora implementierte ein mehrschichtiges Sicherheitsmodell, das mehrere Sicherheitsmaßnahmen umfasste: Plausibilitätsprüfungen der Eingaben, SQL-Parsing, die Durchsetzung der Ein-Anweisungs-Regel, Beschränkungen auf SELECT-Anweisungen, die Validierung rekursiver Ausdrücke, Zugriffskontrollen für Tabellen sowie die Blockierung gefährlicher Funktionen. Einzeln betrachtet waren diese Ebenen sinnvoll. Der Fehler trat an der Stelle auf, an der diese Schutzmaßnahmen voneinander abhängig waren. Insbesondere ging die rekursive Prüfphase von einer vollständigen Abdeckung der untergeordneten Ausdrücke aus, doch die Implementierung vor Version 0.2.12 erfüllte diese Annahme nicht vollständig.

Die Implementierung von „validateNode“ in WeKnora v0.2.11 bearbeitete eine umfangreiche, aber unvollständige Liste von PostgreSQL-AST-Knotentypen. Sie durchlief rekursiv Knotentypen wie AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy und List. Nach diesen explizit behandelten Verzweigungen gab die Funktion jedoch nil zurück. Jeder Container-Knoten, der nicht in dieser Durchlauflogik enthalten war, wurde praktisch zu einem blinden Fleck, selbst wenn er noch untergeordnete Ausdrücke enthielt, die einer Validierung bedurften.

Im Großen und Ganzen bestand der Ablauf des Exploits darin, gefährliche PostgreSQL-Funktionsaufrufe durch die Lücke in der AST-Validierung zu schmuggeln, um so an Primitive zu gelangen, die den Zugriff auf Dateien, die Manipulation von Konfigurationen und letztlich die Ausführung von Remote-Code ermöglichten. Eine erfolgreiche Ausnutzung hing davon ab, das Modell in einen vorhersehbaren Vermittler für den Aufruf von Tools zu verwandeln, Unklarheiten bei der Interpretation von Anfragen zu beseitigen und sicherzustellen, dass bösartiger SQL-Code genau in der von der Anwendung erwarteten Struktur übermittelt wurde.

Die eigentliche Erkenntnis ist nicht nur, dass eine SQL-Injection möglich war, sondern dass die teilweise Durchquerung des AST die beabsichtigte schreibgeschützte Sicherheitsgrenze untergraben hat. Sobald ein gefährlicher Funktionsaufruf in einem noch nicht durchlaufenen Ausdruckscontainer versteckt werden konnte, wurden mehrere nachgelagerte Schutzmechanismen unwirksam.

Die Exploit-Strategie basierte auf der Auswahl eines Modells, das Anweisungen konsequent befolgte und bei der Ausführung mehrstufiger Tools nur minimale Störungen verursachte. In der Praxis führte dies zu einem höheren Determinismus und erleichterte es, die exakte Payload-Struktur beizubehalten, die für die Aufrechterhaltung der Angriffskette erforderlich war. Aus Sicht der offensiven Sicherheit verdeutlicht dies ein allgemeineres Problem bei KI-gestützten Arbeitsabläufen: Wenn die Modellausgabe als Vermittler für sicherheitskritische Vorgänge als vertrauenswürdig angesehen wird, kann die Zuverlässigkeit der Befehlsbefolgung die Ausnutzbarkeit direkt beeinflussen. 

Um die Ausführungsverlässlichkeit über mehrere aufeinander aufbauende Schritte hinweg zu verbessern, wurden bei der Angriffssequenz verschiedene Techniken des Prompt-Engineering angewendet:

1. Einschränkung der Systemaufforderung – Durch die Beschränkung des Modells darauf, Tools nur mit vom Benutzer bereitgestellten JSON-Daten aufzurufen, wurde dessen Neigung verringert, böswillige Eingaben neu zu interpretieren oder zu bereinigen.
2. JSON-Kapselung – Durch das Einbetten der Nutzdaten in klar definierte Marker konnte die genaue Abfragestruktur beibehalten werden.
3. Schrittweise Abfolge – Eine nummerierte Abfolge veranlasste das Modell dazu, zustandsbehaftete Operationen in der vorgesehenen Reihenfolge auszuführen.
4. Grundlegende Wiederholungslogik – Durch die Möglichkeit einer Wiederholung bei Fehlern wurde die Wahrscheinlichkeit verringert, dass vorübergehende Fehler die Angriffskette unterbrechen.

Diese Techniken veranschaulichen, wie das Modellverhalten so gestaltet werden kann, dass die Zuverlässigkeit der Nutzung erhöht wird, wenn LLM-gesteuerte Arbeitsabläufe in Backend-Ausführungsumgebungen integriert werden.

Im folgenden Video werden die erheblichen Auswirkungen dieser Sicherheitslücke ausführlich dargestellt:

Die folgenden Eingaben wurden vom Benutzer direkt an den Agenten übermittelt, um die Ausführung zu veranlassen. Beachten Sie, dass die Befehle die SQL-Anweisungen explizit in genau das JSON-Format einbetten, das von den WeKnora-Tools erwartet wird.

Bestätigungsaufforderung (Datei lesen):

Aufforderung zum Hochladen der Konfiguration (Schritte 1 und 2):

Aufforderung zum Hochladen eines Payload-Chunks (Beispiel für Chunk 2):

Abschließende Ausführungsaufforderung (Exportieren & Neu laden):

Um die oben beschriebenen Sicherheitslücken zu beheben, stellen Sie bitte sicher, dass Ihr System auf die neueste Version von WeKnora aktualisiert ist.

OPSWAT MetaDefender Core, ausgestattet mitfortschrittlichen SBOM-Funktionen (Software of Materials), ermöglicht es Unternehmen, Sicherheitsrisiken proaktiv anzugehen. Durch das Scannen von Softwareanwendungen und deren AbhängigkeitenCore MetaDefender Core bekannte Schwachstellen wie CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 und CVE-2026-30247, innerhalb der aufgeführten Komponenten. Dies ermöglicht es Entwicklungs- und Sicherheitsteams, Patch-Maßnahmen zu priorisieren und potenzielle Sicherheitsrisiken zu mindern, bevor sie von böswilligen Akteuren ausgenutzt werden können. 

Nachfolgend finden Sie einen Screenshot der CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 und CVE-2026-30247, die von MetaDefender Core SBOM erkannt wurden: