Les plateformes d'IA ne sont pas à l'abri des risques de sécurité : l'unité 515 a découvert plusieurs vulnérabilités RCE de gravité critique dans WeKnora

Les plateformes d'IA s'intègrent de plus en plus rapidement aux flux de travail de production modernes, mais l'innovation n'élimine pas pour autant les risques de sécurité. À l'instar des applications traditionnelles, les plateformes natives de l'IA restent exposées à des types de vulnérabilités bien connus et, dans de nombreux cas, elles créent de nouvelles surfaces d'attaque à mesure que l'orchestration des grands modèles de langage (LLM), l'ingestion de documents, l'intégration d'outils externes et les services backend deviennent de plus en plus interconnectés. À mesure que ces plateformes assument des fonctions de plus en plus sensibles sur le plan de la sécurité, les failles de mise en œuvre peuvent rapidement dégénérer en problèmes de sécurité aux conséquences graves.

Tencent WeKnora est un framework open source basé sur un modèle de langage (LLM) destiné à la compréhension approfondie des documents et à la recherche sémantique. Il a été conçu pour aider les organisations à créer des bases de connaissances et des agents IA capables de générer des réponses adaptées au contexte à partir de données complexes et hétérogènes. En combinant le traitement de documents, la recherche, des workflows pilotés par des agents et l'intégration avec des capacités externes, WeKnora permet de mener des opérations de gestion des connaissances puissantes basées sur l'IA, mais crée également des limites de confiance sensibles en matière de sécurité qui nécessitent une évaluation minutieuse lorsqu'elles sont connectées à des systèmes backend et à des chemins d'exécution.

Les vulnérabilités identifiées dans WeKnora étaient réparties sur plusieurs domaines fonctionnels plutôt que concentrées dans un seul composant. Les problèmes découverts par Quan comprenaient l'exécution de code à distance, la falsification de requêtes côté serveur et des failles dans le contrôle d'accès, dont les conséquences allaient de l'accès aux ressources internes à la compromission inter-locataires et à l'exécution de code backend. D'un point de vue défensif, cette recherche a mis en évidence un problème architectural plus général : lorsque les workflows d'IA sont autorisés à générer des requêtes, à invoquer des outils ou à traiter des entrées influencées par des attaquants au-delà des limites de confiance, des failles de mise en œuvre relativement mineures peuvent dégénérer en incidents de sécurité aux conséquences graves.

Les vulnérabilités identifiées sont résumées ci-dessous :

• CVE-2026-30860: Exécution de code à distance via un contournement de l'injection SQL dans l'outil de requête de base de données IA
• CVE-2026-30861: Exécution de code à distance via une injection de commande dans la validation de la configuration de MCP Stdio
• CVE-2026-30859: défaillance du contrôle d'accès entraînant la divulgation de données entre locataires
• CVE-2026-30858: Réorientation DNS dans web_fetch permettant une attaque SSRF vers des ressources internes
• CVE-2026-30857: Clonage non autorisé de la base de connaissances entre locataires
• CVE-2026-30856: détournement de l'exécution d'un outil via une nomenclature ambiguë dans le client MCP et injection indirecte d'invite
• CVE-2026-30855: faille de contrôle d'accès dans la gestion des locataires
• CVE-2026-30247: SSRF via une redirection

Dans l'ensemble, ces conclusions montrent que les plateformes natives de l'IA doivent être évaluées avec la même rigueur que celle appliquée à toute pile logicielle moderne, en particulier lorsque des données d'entrée contrôlées par l'utilisateur ou générées par des modèles peuvent influencer le comportement du backend, qui est sensible sur le plan de la sécurité.

Parmi les huit vulnérabilités révélées,la CVE-2026-30860se distingue comme l'une des plus importantes sur le plan technique. Ce problème affectait la fonctionnalité de requête de base de données IA de WeKnora, qui permettait de traduire des requêtes en langage naturel en requêtes SQL et de les exécuter sur une source de données PostgreSQL connectée. Dans ce flux de travail, l'application tentait de mettre en place une barrière de sécurité via l'analyse syntaxique SQL et une validation basée sur l'AST avant d'autoriser l'exécution. Cependant, la mise en œuvre de cette logique de validation était incomplète. 

Le chemin d'exécution vulnérable peut être décrit avec précision :

• Une requête de l'utilisateur parvient à l'agent IA et demande des données provenant d'une base de connaissances connectée.
• L'agent convertit cette requête en une requête SQL ciblant les tables gérées par PostgreSQL.
• WeKnora analyse le code SQL à l'aide de pg_query_go et transmet l'arbre d'analyse aux fonctions validateSelectStmt et validateNode.
• Si la validation aboutit, l'instruction obtenue est exécutée avec les privilèges de base de données configurés pour l'application.

Cette architecture ne peut fonctionner que si le parcours de l'AST est complet. Un simple filtrage des mots-clés ne suffit pas, car PostgreSQL permet d'intégrer des appels de fonction dangereux dans divers types d'expressions et structures conteneurs.

Un arbre de syntaxe abstraite (AST) est une représentation structurée de la logique du code source. Dans WeKnora, l'analyseur officiel de PostgreSQL, via pg_query_go, est utilisé pour transformer les requêtes SQL brutes en un arbre de nœuds. Cela permet à l'application d'examiner les composants structurels d'une requête, tels que les références aux tables, les appels de fonction et les expressions, plutôt que de s'appuyer sur la reconnaissance de motifs ou les expressions régulières, qui peuvent souvent être contournées.

Dans ce modèle, la sécurité dépend de la capacité de la logique de validation à parcourir intégralement l'AST et à inspecter chaque nœud enfant pertinent. Si le parcours est incomplet, des constructions dangereuses peuvent se cacher à l'intérieur d'enveloppes d'expression que le validateur n'atteint jamais.

WeKnora a mis en place un modèle de défense en profondeur comprenant plusieurs contrôles de sécurité : vérifications de validité des entrées, analyse syntaxique SQL, application de la règle d’une seule instruction, restrictions aux requêtes SELECT uniquement, validation des expressions récursives, contrôles d’accès aux tables et blocage des fonctions dangereuses. Prises individuellement, ces couches étaient pertinentes. La défaillance s'est produite au point où ces protections dépendaient les unes des autres. En particulier, la phase d'inspection récursive supposait une couverture complète des expressions enfants, mais la mise en œuvre antérieure à la version 0.2.12 ne répondait pas entièrement à cette hypothèse.

L'implémentation de la fonction validateNode dans WeKnora v0.2.11 traitait une liste longue mais incomplète de types de nœuds AST PostgreSQL. Elle effectuait une exploration récursive des types de nœuds tels que AExpr, BoolExpr, NullTest, CoalesceExpr, CaseExpr, ResTarget, SortBy et List. Cependant, après ces branches explicitement gérées, la fonction renvoyait nil. Tout nœud conteneur qui n'était pas inclus dans cette logique de traversée devenait de fait un angle mort, même s'il contenait encore des expressions enfants nécessitant une validation.

Dans les grandes lignes, le processus d'exploitation consistait à faire passer clandestinement des appels de fonctions PostgreSQL dangereuses à travers une faille de validation de l'AST afin d'accéder à des primitives permettant l'accès aux fichiers, la manipulation des paramètres de configuration et, au final, l'exécution de code à distance. La réussite de l'exploitation reposait sur la transformation du modèle en un intermédiaire prévisible pour l'invocation d'outils, la réduction de l'ambiguïté dans l'interprétation des requêtes et la garantie que le code SQL malveillant était transmis dans la structure précise attendue par l'application.

La leçon à en tirer n'est pas seulement que l'injection SQL était possible, mais que le parcours partiel de l'AST a compromis la barrière de sécurité en lecture seule prévue. Dès lors qu'un appel de fonction dangereux pouvait être dissimulé à l'intérieur d'un conteneur d'expressions non exploré, de nombreuses protections en aval sont devenues inefficaces.

La stratégie d'exploitation reposait sur le choix d'un modèle capable de suivre les instructions de manière cohérente et d'introduire un minimum d'interférences lors de l'exécution d'outils en plusieurs étapes. Dans la pratique, cela a renforcé le déterminisme et facilité la préservation de la structure exacte de la charge utile nécessaire au bon déroulement de la chaîne d'attaque. Du point de vue de la sécurité offensive, cela met en évidence une préoccupation plus générale concernant les flux de travail basés sur l'IA : lorsque l'on se fie aux résultats d'un modèle pour servir d'intermédiaire dans des opérations sensibles sur le plan de la sécurité, la fiabilité de son respect des instructions peut influencer directement la vulnérabilité au piratage. 

Afin d'améliorer la fiabilité de l'exécution sur l'ensemble des étapes interdépendantes, la séquence d'attaque a eu recours à plusieurs techniques d'ingénierie des invites :

1. Restriction des invites système - Le fait de limiter le modèle à l'appel d'outils uniquement à partir de fichiers JSON fournis par l'utilisateur a réduit sa tendance à réinterpréter ou à nettoyer les données d'entrée malveillantes.
2. Encapsulation JSON - Le fait d'encapsuler les données utiles dans des balises clairement définies a permis de préserver la structure exacte de la requête.
3. Séquençage étape par étape - Une séquence numérotée a permis au modèle d'exécuter les opérations avec état dans l'ordre prévu.
4. Logique de nouvelle tentative de base - Le fait de permettre une nouvelle tentative en cas d'échec a réduit le risque que des erreurs passagères interrompent la chaîne d'attaque.

Ces techniques montrent comment il est possible d'adapter le comportement des modèles afin d'améliorer la fiabilité de l'exploitation lorsque des flux de travail basés sur des modèles de langage à grande échelle (LLM) sont intégrés à des environnements d'exécution en arrière-plan.

Veuillez vous référer à la vidéo suivante pour une démonstration détaillée de l'impact significatif associé à cette vulnérabilité :

Les instructions suivantes ont été fournies directement par l'utilisateur à l'agent afin de permettre l'exécution. Notez que les commandes encapsulent explicitement le code SQL dans le format JSON exact attendu par les outils WeKnora.

Message de vérification (lecture de fichier) :

Invite de téléchargement de la configuration (étapes 1 et 2) :

Invite de téléchargement d'un bloc de données (exemple pour le bloc 2) :

Invite d'exécution finale (Exporter et recharger) :

Pour pallier les vulnérabilités évoquées ci-dessus, veuillez vous assurer que votre système est mis à jour avec la dernière version de WeKnora.

OPSWAT MetaDefender Core, doté de fonctionnalitésavancées de SBOM(Software of Materials), permet aux organisations d'adopter une approche proactive pour faire face aux risques de sécurité. En analysant les applications logicielles et leurs dépendances, MetaDefender Core les vulnérabilités connues, telles que CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 et CVE-2026-30247, au sein des composants répertoriés. Cela permet aux équipes de développement et de sécurité de hiérarchiser les efforts de correction, atténuant ainsi les risques de sécurité potentiels avant qu'ils ne puissent être exploités par des acteurs malveillants. 

Vous trouverez ci-dessous une capture d'écran des vulnérabilités CVE-2026-30860, CVE-2026-30861, CVE-2026-30855, CVE-2026-30856, CVE-2026-30857, CVE-2026-30858, CVE-2026-30859 et CVE-2026-30247, qui ont été détectées par MetaDefender Core SBOM :