Шпион внутри базы данных. Новые функции ИИ в SQL Server 2025 превратились в готовый инструмент для кражи корпоративных данных

База данных давно перестала быть просто хранилищем таблиц, но новые функции SQL Server 2025 показали, насколько опасным может стать такой переход. Специалисты SpecterOps выяснили, что встроенные возможности для работы с ИИ можно использовать не только по назначению, но и чтобы выводить данные из корпоративной сети и связываться с управляющим сервером злоумышленников.

Главный риск связан с тем, что SQL Server 2025 получил штатные инструменты, чтобы обращаться к внешним веб-адресам и моделям ИИ. Среди них – процедура sp_invoke_external_rest_endpoint, команда CREATE EXTERNAL MODEL и функция AI_GENERATE_EMBEDDINGS. В нормальном сценарии такие механизмы помогают строить системы, где база данных взаимодействует с внешними моделями, создаёт векторные представления текста и участвует в поиске по внутренним знаниям компании.

Проблема в том, что те же механизмы открывают удобный канал наружу. Если злоумышленник уже получил доступ к учётной записи с высокими правами в SQL Server, он может заставить базу отправлять данные на внешний сервер по HTTPS. Чтобы передавать данные таким способом, не нужны сторонние инструменты или заметные команды операционной системы. Сервер базы сам выполняет запрос, а размер передаваемых данных может достигать 100 МБ за один раз.

В демонстрационных примерах через новый механизм отправлялись содержимое таблиц, файлы с диска и обновления из базы после того, как срабатывал триггер. Последний вариант особенно опасен, потому что позволяет не выгружать таблицу целиком, а автоматически пересылать новые записи при каждом изменении. Для защитных систем такой трафик может выглядеть как обычный запрос SQL Server к внешней службе ИИ.

Ещё один сценарий связан с внешними моделями ONNX. SQL Server позволяет указывать сетевые пути, из-за чего можно вынудить систему аутентифицироваться через NTLM по SMB. Такой приём позволяет перехватывать хеши или пытаться передать учётные данные дальше внутри домена. Microsoft получила сообщение об этом поведении, но сочла его не нарушающим границу безопасности.

Самый тревожный вывод связан с каналом управления. Новые функции можно объединить с уже существующими возможностями SQL Server и получить полноценный способ связываться с управляющим сервером. В одном варианте команды выполнялись через xp_cmdshell, в более сложном – через сборку .NET CLR, загруженную прямо в память SQL Server. Такой подход помогает маскировать трафик под работу с векторными представлениями для ИИ.

Для защиты администраторы должны пересмотреть права учётных записей SQL Server и убрать роль sysadmin там, где она не нужна. Также нужно отслеживать, когда включают sp_invoke_external_rest_endpoint, создают или изменяют внешние модели, запускают xp_cmdshell, назначают задания SQL Server Agent и загружают CLR-сборки. Обычных журналов SQL Server для такой видимости часто недостаточно, поэтому придётся настраивать аудит или расширенные события, чтобы записывать текст запросов.

Отдельная мера – запретить исходящие HTTPS-соединения с серверов баз данных к неизвестным адресам. Если компании действительно используют функции ИИ, модели лучше размещать внутри своей сети, а внешний трафик жёстко ограничивать. Иначе привычный признак атаки, когда база данных внезапно начинает ходить в интернет, постепенно превращается в «нормальное» поведение, которое сложнее отличить от злоупотребления.

SQL Server 2025 показывает более широкую проблему: функции ИИ в корпоративных продуктах расширяют не только возможности разработчиков, но и инструменты атакующих. Когда база данных получает встроенный способ общаться с внешними сервисами, защитникам приходится проверять уже не само соединение, а содержание запросов, роли пользователей и всю цепочку действий внутри системы.