Уразливість SSRF в LMDeploy Використана за 13 Годин, Атаки на AI-Інфраструктуру

Уявіть консьєржа готелю, який готовий принести будь-яку посилку з будь-якої адреси, яку ви нашкрябали на серветці, — жодних запитань, жодної перевірки індексу. Саме так функція load_image() у LMDeploy поводиться всередині виробничих AI-стеків. І через тринадцять годин після того, як двері були публічно названі, хтось увійшов і почав рилися в підсобці.

Тринадцять годин. Такий проміжок між публічним розкриттям CVE-2026-33626 і першими спробами експлуатації, зафіксованими у дикій природі. Метафора консьєржа повертатиметься знову і знову, бо суть цієї історії — у тому, кому ви довіряєте приносити речі від вашого імені і що ви дозволяєте торкатися на зворотному шляху.

Цифри

Уразливість міститься в LMDeploy — інструментарії з відкритим кодом для керування великими мовними моделями, — і, як повідомляє SC Media, це server-side request forgery у модулі vision-language. Вразливий шлях виконання коду — load_image(), яка завантажує URL без перевірки того, чи вказують ці URL на внутрішні або приватні IP-адреси. Якщо ви хоч раз налагоджували SSRF у обробнику вебхуків, ви вже знаєте форму проблеми ще до того, як прочитаєте наступне речення.

Цифра в тринадцять годин — це те, що має змусити тімліди платформ насторожитися. Дослідники Sysdig зафіксували спроби експлуатації в цьому вікні після публічного розкриття. Для контексту: приблизний галузевий орієнтир для опортуністичного сканування щойно розкритих CVE історично вимірювався днями, а іноді й тижнями для нішевого програмного забезпечення. Тринадцять годин свідчать про те, що зловмисники або стежили за стрічкою розкриттів у реальному часі, або запускали фазери проти AI-інфраструктури, яку вже знали.

Те, що зловмисники зробили з уразливістю, — нудна частина, у сенсі класичного SSRF-ремесла: сканування портів внутрішніх мереж, звернення до AWS Instance Metadata Service для отримання хмарних облікових даних, зондування Redis-інстансів та out-of-band DNS-ексфільтрація для витягування даних через розв'язання імен, коли прямі з'єднання заблоковані. Нічого нового. Новизна — у точці входу: ендпоінт vision-language моделі.

Одна деталь, на якій варто зупинитися: експлуатація включала кілька запитів, розподілених між різними vision-language моделями, щоб уникнути виявлення. Це говорить про те, що зловмисники достатньо добре розуміли топологію розгортання користувачів LMDeploy, щоб переходити між моделями всередині одного інструментарію, — що вказує або на попередню розвідку, або на плейбук, яким уже поділилися у відповідних куточках інтернету.

Що Насправді Нового

SSRF старша за більшість інженерів, які це читають. Техніка фігурує в матеріалах OWASP вже більше десяти років, і будь-який бекенд-розробник, який випускав функцію «завантаж цей URL і покажи попередній перегляд», у якийсь момент дивився на фільтр приватних IP і гадав, чи правильно він розписав CIDR-діапазони. Що ж тут справді інше?

Новизна — у самій поверхні атаки. AI-інструментарії для виведення, на кшталт LMDeploy, починали як дослідницький код: завантажити модель, пустити токени, випустити щось робоче. Модулі vision-language зокрема приймають URL як вхідні дані, тому що саме так ви передаєте моделі зображення без base64-кодування всього навантаження через JSON-запит. Зручність і є вразливістю. Інструментарій робить рівно те, що рекламує.

Друга нова річ — операційний темп. Кожен, хто спостерігав, як CVE виходить у п'ятницю вдень, знає болісний розрив між публічним розкриттям і запатченою продакшн-системою. Тринадцять годин — цього достатньо мало, що традиційний цикл управління патчами (огляд, стейдж, планування, розгортання) навіть не встигає провести першу нараду до того, як настає експлуатація. Для команд, які запускають LMDeploy за внутрішнім API-шлюзом із хмарними метаданими, доступними з inference-поду, це втрачені вихідні.

Третє, і те, що я б назвав найважливішим, — профіль цілей. AWS IMDS і Redis — не випадкові. Це ті частини інфраструктури, де зберігаються облікові дані та стан сесій. Зловмисник, який може перейти від ендпоінта обслуговування моделі до IMDS, фактично перетворює ваш inference-кластер на автомат з видачі облікових даних. Hugging Face роками в своїх посібниках з розгортання підштовхував інженерів до контейнеризованого виведення, але контейнери спільно використовують сервіси метаданих з усім іншим у VPC, якщо ви спеціально не заблокуєте IMDSv2.

Консьєрж більше не просто приносить посилки. Йому сказали, що шафа з майстер-ключами стоїть прямо за його стійкою.

Що Вже Враховано в AI-Розробці

Більшість досвідчених інженерів, які це читають, уже припускали, що AI-інструментарій, особливо рівень відкритого коду, має проблему з боргом безпеки. Це вже враховано. Екосистема хостингу моделей росла швидко, ставила в пріоритет ергономіку для дослідників і успадкувала рівень безпеки академічних кодових баз. Нікого не дивує, що SSRF з'явилася у завантажувачі URL для vision-language. Якщо чим і дивуватися, то тим, що ми не побачили цього CVE шість місяців тому.

Що не враховано: швидкість озброєння проти AI-специфічної інфраструктури. Тринадцятигодинне вікно свідчить, що зловмисники тепер розглядають AI-інструментарії як цілі першого класу, а не як щось другорядне. Це зміна. Рік тому припускалося, що опортуністичні сканери врешті наздоженуть CVE в AI-стеку. «Врешті» тепер означає «до обіду наступного дня».

Також не враховано: те, що захисний інструментарій навколо AI-виведення досі незрілий. Стандартні правила WAF не знають, як виглядає легітимний запит до vision-language. Мережеві політики в більшості розгортань Kubernetes за замовчуванням дозволяють трафік від поду до IMDS. Агентні патерни, задокументовані в документації Anthropic та подібних ресурсах, передбачають, що ви вже вирішили питання мережевого виходу, але на рівні обслуговування моделей це питання часто залишається без відповіді.

Протилежна Думка

Ось непопулярна позиція: цифра в тринадцять годин, хоча й тривожна, також може означати, що екосистема виявлення нарешті працює. Sysdig зафіксував спроби експлуатації. П'ять років тому та сама вразливість могла б мовчки експлуатуватися місяцями, перш ніж хтось це помітив, — тому що ніхто не стежив за трафіком AI-виведення з тими самими інструментами, що спрямовані на традиційні вебстеки.

Інша контраріанська думка: SSRF у load_image() — це вирішувана проблема з відомою формою. Валідуйте IP, блокуйте приватні діапазони, примусово застосовуйте IMDSv2 з обмеженням переходів на одиницю, обмежте вихідний трафік на мережевому рівні. Жодне з цього не вимагає винаходу нових захисних підходів. Реальний ризик — не цей CVE. Це наступний — у наступному AI-інструментарії, у шляху коду, який ніхто не перевіряв, бо інструментарію шість місяців і він випускає нову функцію щовівторка.

Якщо ви ставитеся до CVE-2026-33626 як до одиничного випадку, ви виправите його й підете далі. Якщо ви ставитеся до нього як до репрезентативної вибірки того, як виглядає безпека AI-інфраструктури у 2026 році, ви почнете ставити складніші питання про кожен завантажувач URL, кожен хук для використання інструментів і кожну модель, яка приймає рядок і перетворює його на мережевий виклик.

Ключові Висновки

• Негайно встановіть патч для LMDeploy, якщо ви використовуєте модуль vision-language. Тринадцятигодинне вікно експлуатації означає, що для незапатчених розгортань правильна позиція — «припустити злам».
• Заблокуйте AWS IMDS до v2 з обмеженням переходів на одиницю для всіх inference-подів, а не лише тих, які, на вашу думку, відкриті. Хмарні метадані — це та винагорода, яку зловмисники насправді хочуть отримати.
• Ставтеся до завантажувачів URL у AI-інструментарії як до ненадійних точок виходу. Мережеві політики повинні блокувати трафік від поду до приватних діапазонів, якщо це не потрібно явно.
• Побудуйте виявлення для патернів експлуатації між кількома моделями. Зловмисники в цьому випадку розподіляли запити між різними vision-language моделями, щоб уникнути моніторингу одного ендпоінта.
• Модель довіри консьєржа — де AI-інструментарій завантажує все, про що його просять, — є конструктивним недоліком. До тих пір, поки валідація за замовчуванням не з'явиться на рівні інструментарію, кожен новий компонент AI-інфраструктури слід вважати таким, що поставляється з подібними дверима.