Pydantic AI opravuje zraniteľnosť vo Vercel AI adaptéri pre súborové odkazy
Nové vydania Pydantic AI prinášajú opravu bezpečnostného problému, pri ktorom mohol klient cez providerMetadata podstrčiť UploadedFile odkaz a prinútiť server čítať súbory pod vlastnými oprávneniami.
Pripravil HERMES. Výber tém pomáha robiť BuloSentinel. Redakčná kontrola: Marek Považský.
- Typ zdroja
- Kurátorovaný súhrn
- Zdroj / autorita
- Pydantic AI GitHub
Redakčný kontext
Tému vybral BuloSentinel ako súčasť monitorovania AI ekosystému. Text pripravil HERMES zo zdrojovo ukotvených podkladov a zodpovednú kontrolu pravidiel robí Marek Považský.
Článok je zaradený v sekcii AI novinky a opiera sa o 2 zdroje.
Pydantic AI vydalo nové verzie, ktoré do beta vetvy v2 aj stabilnej vetvy 1.x prenášajú opravu bezpečnostného problému vo Vercel AI adaptéri. Vydanie v2.0.0b7 upozorňuje, že zmena súvisí s advisory GHSA-h7p7-w5gc-xj3w a s predchádzajúcimi opravami vo verziách 1.106.0 a 2.0.0b6. Problém sa týka situácií, v ktorých aplikácia prijíma nedôveryhodnú históriu správ od klienta a posiela ju agentovi cez UI adaptér.
Jadro zraniteľnosti je takzvaný confused-deputy scenár. Klient mohol cez providerMetadata vytvoriť odkaz typu UploadedFile, ktorý následne server posunul poskytovateľovi modelu alebo cloudového úložiska. Ten súbor riešil pod identitou servera, nie pod identitou klienta. Ak útočník poznal alebo uhádol platný identifikátor súboru, mohol tak prinútiť aplikáciu načítať dáta, ku ktorým by priamo nemal mať prístup. Nešlo teda o klasické vzdialené spustenie kódu, ale o riziko úniku súborov cez dôveru medzi klientom, serverom a poskytovateľom modelu.
Advisory výslovne uvádza, že súborové URL časti boli validované cez zoznam povolených schém, no UploadedFile odkazy, ktoré môžu ukazovať na provider file ID alebo cloudové URI ako s3:// a gs://, neprešli rovnakou kontrolou. Rozdiel medzi týmito dvoma typmi súborových častí je pre bezpečnosť zásadný. URL sa dá filtrovať podľa protokolu a pravidiel aplikácie; provider file ID alebo cloudové URI však môže aktivovať prístupové oprávnenia servera a tým obísť hranice, ktoré používateľ v skutočnosti nemal prekročiť.
Dopad je podľa GitHub advisory stredný a podmienený konkrétnou architektúrou aplikácie. Ohrozené sú najmä systémy, ktoré posielajú klientom odoslanú históriu správ priamo do agenta cez UI adaptér, napríklad VercelAIAdapter, a zároveň majú v účte poskytovateľa modelu alebo cloudového úložiska súbory s referencovateľnými identifikátormi. Ak aplikácia nedôveryhodnú históriu neprijíma, alebo pred spustením agenta odstraňuje súborové časti, riziko je nižšie. To však nemení hlavné poučenie: história chatu v agentickej aplikácii je vstup, ktorý treba validovať rovnako prísne ako formulár alebo API request.
Oprava v Pydantic AI spočíva v konzistentnom spracovaní UploadedFile s časťami typu FileUrl v UI adaptéroch. Inými slovami, súborové odkazy prichádzajúce od klienta majú prechádzať porovnateľnou validáciou bez ohľadu na to, či sú vyjadrené ako bežná URL alebo ako providerový súborový identifikátor. Projekt odporúča prejsť na verziu 1.106.0 v línii 1.x alebo na 2.0.0b6 a novšie v beta línii 2.x. Vydanie 2.0.0b7 už túto opravu zahŕňa a zároveň prináša aj ďalšie zmeny z verzie 1.107.0.
Pre vývojárov je praktické odporúčanie jednoduché: ak aplikácia umožňuje používateľom posielať históriu konverzácie späť na server a táto história môže obsahovať súborové časti, treba aktualizovať Pydantic AI a skontrolovať vlastné medzivrstvy. Nestačí veriť tomu, že modelový provider alebo knižnica bezpečne rozpozná, čo je legitímny súbor. Server by mal rozhodovať, ktoré časti histórie sú povolené, ktoré URI schémy sú prípustné a či sa do modelu vôbec smú dostať odkazy na súbory mimo aktuálnej používateľskej relácie.
Tento prípad je širším varovaním pre agentické frameworky. Moderné AI aplikácie čoraz častejšie posielajú modelom nielen text, ale aj odkazy na súbory, nástroje, pamäť, databázy a externé služby. Každá takáto referencia vytvára novú autorizačnú hranicu. Ak sa klientom dodaný objekt bez kontroly premení na akciu vykonanú serverom, vzniká rovnaký typ problému, aký webová bezpečnosť pozná z proxy služieb, server-side request forgery alebo neoddelenej zodpovednosti medzi používateľom a backendom.
Pre podnikové tímy je vhodné zaradiť túto opravu do bežného procesu riadenia závislostí, nie ju vnímať ako okrajovú chybu v knižnici. Ak agent používa súbory, cloudové úložiská alebo providerové uploady, treba auditovať tok identifikátorov od klienta až po model. Dôležité je aj logovanie a testovanie negatívnych prípadov: čo sa stane, ak klient pošle cudzie file ID, cloudové URI alebo starý objekt z inej relácie. Pydantic AI poskytlo opravu, ale zodpovednosť za bezpečný dizajn vstupov zostáva na prevádzkovateľovi aplikácie.
Zdroje
