Исследователи Endor Labs обнаружили критическую уязвимость (CVE-2026-55407) в библиотеке Buffa, используемой Anthropic для обработки протоколов Protobuf. Ошибка позволяет злоумышленникам вызвать чрезмерное потребление оперативной памяти, увеличивая её использование в 22 раза при обработке специально сформированных данных. Это создает риск отказа в обслуживании (DoS) для систем, работающих с инфраструктурой Anthropic.

Проблема заключается в некорректной реализации механизма декодирования, который не ограничивает объем выделяемой памяти при обработке вложенных структур данных. В условиях высокой нагрузки на агентные системы или при обработке внешних запросов, такая уязвимость может привести к принудительной остановке сервисов или критическому замедлению работы моделей из-за исчерпания ресурсов сервера.

Данный инцидент подчеркивает риски, связанные с использованием специализированных библиотек для сериализации данных в высоконагруженных ИИ-системах. Разработчикам, интегрирующим решения Anthropic, рекомендуется обновить зависимости и внедрить дополнительные уровни валидации входящих данных, чтобы предотвратить эксплуатацию подобных векторов атак на уровне инфраструктуры.

Ключевые факты

  • Идентификатор уязвимости: CVE-2026-55407.
  • Масштаб воздействия: увеличение потребления памяти до 22 раз при обработке вредоносных пакетов.
  • Причина: ошибка в логике декодирования Protobuf в библиотеке Buffa.
  • Риск: возможность проведения DoS-атак на инфраструктуру, использующую компоненты Anthropic.
  • Источник обнаружения: команда Endor Labs в ходе анализа безопасности ИИ-инструментов.