Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Прочитали GitHub - написали вирус. Первая эксплуатация SSRF в инструменте для запуска моделей

leer en español

LMDeploy Sysdig CVE-2026-33626 SSRF GitHub AWS искусственный интеллект
Прочитали GitHub - написали вирус. Первая эксплуатация SSRF в инструменте для запуска моделей
LMDeploy Sysdig CVE-2026-33626 SSRF GitHub AWS искусственный интеллект

Хакеры «зашли» в LMDeploy всего через 12 часов после публикации CVE.

image

Уязвимости в инструментах для работы с искусственным интеллектом начинают жить по новым правилам — между публикацией проблемы и реальной атакой проходят часы. Очередной пример показал, насколько быстро злоумышленники адаптируются: на этот раз под удар попал популярный инструмент для запуска моделей.

Команда Sysdig зафиксировала попытку эксплуатации уязвимости CVE-2026-33626 в LMDeploy уже через 12 часов после публикации предупреждения на GitHub. Речь идёт о SSRF-ошибке, которая позволяет серверу выполнять HTTP-запросы по адресам, переданным пользователем, без должной проверки.

LMDeploy — это платформа для запуска языковых и мультимодальных моделей, разработанная Shanghai AI Laboratory. Она поддерживает обработку изображений через параметр image_url. Именно этот механизм и стал точкой входа: сервер загружал любой указанный URL, включая внутренние адреса.

Специалисты развернули ловушку с уязвимой версией LMDeploy и быстро увидели активность. За одну восьмиминутную сессию злоумышленник не просто проверил наличие ошибки, а превратил её в инструмент разведки. Через обработчик изображений он начал сканировать внутреннюю сеть сервера, обращаясь к сервисам вроде Redis, MySQL и административным HTTP-интерфейсам. Также зафиксировали попытку доступа к AWS Instance Metadata Service, что может привести к утечке облачных учётных данных.

Атака проходила в несколько этапов. Сначала злоумышленник проверил возможность внешних соединений через DNS-запрос на специальный сервис. Затем изучил API сервера, включая автоматическую документацию. После этого попытался воздействовать на управляющие функции LMDeploy и завершил сессию сканированием локальных портов.

Особенность ситуации в том, что на момент атаки не существовало готовых инструментов эксплуатации. Достаточно оказалось информации из самого предупреждения — в нём прямо указывались проблемный файл и параметры без проверки. Такой уровень детализации позволяет быстро собрать рабочий сценарий атаки даже без публичного кода.

Эксплуатация подобных уязвимостей в инфраструктуре ИИ становится всё быстрее. По наблюдениям специалистов, злоумышленники больше не ждут появления готовых инструментов — они используют описания проблем как инструкцию. Дополнительное ускорение даёт генеративный ИИ, который способен по тексту предупреждения сгенерировать код атаки.

В случае LMDeploy риски выходят за рамки классического SSRF. Уязвимость открывает доступ к облачным метаданным, внутренним базам данных и управляющим компонентам. Кроме того, злоумышленник может нарушить работу моделей, отключив отдельные узлы системы.

Разработчики уже выпустили исправленную версию, но ситуация подчёркивает другую проблему — традиционные циклы обновлений и проверки безопасности не успевают за скоростью атак. Когда счёт идёт на часы, защита должна строиться на ограничении сетевых соединений, контроле исходящего трафика и оперативном реагировании.