Исследователи безопасности обнаружили критическую уязвимость в платформе Writer AI, позволявшую злоумышленникам выходить за пределы изолированной среды (песочницы). Ошибка давала возможность читать данные других клиентов компании, используя манипуляции с системными промптами и доступом к файловой системе. Уязвимость была оперативно устранена разработчиками после получения отчета, предотвратив потенциальную утечку конфиденциальной корпоративной информации.

Проблема заключалась в способе обработки файлов и выполнения кода внутри изолированного контейнера. Злоумышленник мог использовать специально сформированные запросы, чтобы получить доступ к переменным окружения и файлам, принадлежащим другим пользователям или организациям, использующим ту же инфраструктуру. Это классический пример нарушения изоляции в мультиарендных (multi-tenant) облачных системах, где разграничение прав доступа между клиентами является критическим элементом безопасности.

Эксперты отмечают, что подобные инциденты подчеркивают риски использования LLM-платформ для обработки чувствительных данных. Даже при наличии механизмов защиты, архитектурные просчеты в реализации песочниц могут привести к компрометации всей базы данных пользователей. В данном случае исследователи продемонстрировали, как через «побег» из песочницы можно получить доступ к токенам API и внутренним конфигурациям системы.

Ключевые факты

  • Уязвимость получила название WriteOut и классифицирована как критическая ошибка изоляции между арендаторами.
  • Исследователи из SandSecurity обнаружили, что манипуляция системными инструкциями позволяет выполнять произвольный код вне изолированной среды.
  • Атака давала доступ к файловой системе сервера, включая данные других клиентов, использующих платформу Writer AI.
  • Разработчики Writer AI подтвердили наличие проблемы и внедрили патч, ограничивающий права доступа и усиливающий изоляцию процессов.
  • Инцидент демонстрирует необходимость внедрения строгих политик безопасности при работе с мультиарендными ИИ-решениями.