Исследование безопасности 200 популярных self-hosted ИИ-решений показало, что 78 из них (39%) имеют критические уязвимости в механизмах изоляции арендаторов (tenant isolation). Ошибки в конфигурации и архитектуре позволяют пользователям получать доступ к данным других клиентов, что ставит под угрозу конфиденциальность корпоративных сред, развернутых на собственных серверах компаний для работы с чувствительной информацией.

Проблема изоляции данных является фундаментальной для систем, где несколько пользователей или подразделений используют общий инстанс модели. В ходе анализа выяснилось, что многие инструменты полагаются на небезопасные методы управления сессиями или некорректно обрабатывают права доступа при обращении к векторным базам данных и кэшам запросов. Это приводит к тому, что история диалогов, системные промпты и загруженные документы могут быть скомпрометированы без необходимости глубокого взлома системы.

Авторы исследования подчеркивают, что большинство уязвимостей связаны не с самими LLM, а с инфраструктурным уровнем: отсутствием должной проверки прав доступа на уровне API-шлюзов и неправильной настройкой многопользовательских окружений. Для компаний, внедряющих локальные ИИ-системы, это означает необходимость проведения независимого аудита безопасности перед запуском в продакшн, так как стандартные практики разработки веб-приложений часто игнорируются в быстрорастущем сегменте self-hosted инструментов.

Ключевые факты

  • Проанализировано 200 self-hosted ИИ-инструментов, ориентированных на корпоративное использование.
  • 78 инструментов (39%) признаны уязвимыми к утечкам данных между арендаторами.
  • Основные векторы атак включают некорректную изоляцию в векторных БД и ошибки управления сессиями.
  • Уязвимости позволяют неавторизованным пользователям извлекать историю запросов и конфиденциальные документы других участников системы.