Два ИИ-инструмента сломались одинаково за две недели, и четыре исследовательские команды это доказали. Суть каждого раскрытия укладывается в одну фразу: корпоративный ИИ принимает внешние данные без контроля доверия. 15 июня Varonis обнародовала SearchLeak (CVE-2026-42824) — цепочку эксфильтрации в Microsoft 365 Copilot Enterprise Search. Жертва кликает по crafted-ссылке на microsoft.com, Copilot шерстит её почтовый ящик, и данные утекают через Bing SSRF. Никаких плагинов, второго клика, видимых индикаторов. Четырьмя днями ранее Obsidian Security опубликовала цепочку из трёх CVE против LiteLLM, превратившую пользователя с правами по умолчанию в администратора и открывшую удалённое выполнение кода. Два инструмента. Две команды. Один сломанный рубеж.
Пятипунктовая проверка в конце этой статьи сопоставляет каждую брешь либо с CVE, либо с рыночным сигналом июня, даёт команду, которую можно выполнить до обеда, и фразу для доклада совету директоров.
Copilot превратил доверенный URL в двигатель эксфильтрации
SearchLeak склеил три слабых места в бесшумную цепочку кражи данных. Параметр q в URL передавал атакующие инструкции прямо в LLM Copilot'а. Состояние гонки при рендеринге успевало запустить тег изображения до того, как отрабатывал очиститель вывода. А эндпоинт Bing для поиска картинок — внесённый в белый список Content Security Policy — выводил украденные данные наружу. Microsoft оценила уязвимость как критическую и, по данным Varonis, исправила её на серверной стороне. NVD ещё не присвоил рейтинг; сторонний трекер ставит 6,5 — medium. Серьёзность спорна, но механизм — нет.
Эскалация — вот настоящая история. Это третья цепочка эксфильтрации Copilot от Varonis за двенадцать месяцев, после Reprompt в январе и EchoLeak в 2025-м. Reprompt бил по Copilot Personal. SearchLeak — по Enterprise Search. Корпоративная версия наследует полные права пользователя в организации — радиус поражения равен всему, до чего может дотянуться пользователь.
LiteLLM вручил каждому провайдерскому ключу учётку по умолчанию
Шлюз LiteLLM хранит ключи для OpenAI, Anthropic, Azure и Bedrock за одним прокси. Цепочка от Obsidian разворачивается в три хода. CVE-2026-47101 — обход авторизации: не-администратор может создать wildcard-ключ API. CVE-2026-47102 повышает того же вызывающего до администратора прокси через незащищённый эндпоинт /user/update. CVE-2026-40217 сбегает из песочницы кода через exec() с полными встроенными функциями. Затем Obsidian продемонстрировала reverse shell, внедрив поддельный ответ от tool-call через callback-механизм LiteLLM. Obsidian оценила комбинированную цепочку в CVSS 9,9. Разработчик набрал одно слово. Атакующий получил шелл.
Отдельная уязвимость LiteLLM сделала срочность очевидной. CVE-2026-42271 — командная инъекция в тестовых эндпоинтах MCP — попала в список CISA KEV 8 июня с дедлайном исправления до 22 июня. Запись в KEV — это не цепочка от Obsidian. Два разных раскрытия с разницей в четыре дня, исправленные в разных релизах, но указывающие на один и тот же шлюз. У LiteLLM более 40 тысяч звёзд на GitHub и тысячи корпоративных установок. Это не первая тревога: supply-chain атака внедрила бэкдор в версии 1.82.7 и 1.82.8 на PyPI в марте. Скомпрометированный шлюз открывает все провайдерские учётные данные, которые хранит организация.
Langflow и Mini Shai-Hulud доказали, что паттерн масштабируется
Тот же рубеж рухнул ещё в двух инструментах за ту же двухнеделю. CVE-2026-5027 для Langflow стал третьей RCE-уязвимостью, перешедшей в активную эксплуатацию в этом году. Path traversal при загрузке файлов позволяет злоумышленнику писать файлы куда угодно на диск, а поскольку Langflow поставляется с авто-логином по умолчанию, один неаутентифицированный запрос приводит к RCE. VulnCheck подтвердила эксплуатацию 9 июня. Censys насчитала около 7 тысяч открытых инстансов, с наибольшей концентрацией в Северной Америке, и приписывает атаки группе MuddyWater.
Кампания Mini Shai-Hulud ударила по другому болевому нерву. После того как исходный код червя стал публичным 12 мая, клоны-подражатели скомпрометировали 32 пакета Red Hat Cloud Services на npm 1 июня — пакеты, которые скачивали 80 тысяч раз в неделю. Червь собирает более 20 типов учётных данных и самораспространяется под личностью скомпрометированного мейнтейнера.
Четыре команды, четыре инструмента, один операционный отказ. Классы уязвимостей разные: SearchLeak — это prompt injection, LiteLLM — повышение привилегий, Langflow — path traversal, Mini Shai-Hulud — отравление цепочки поставок. Но рубеж, который сломался, — один и тот же для всех четырёх.
Рынок уже переоценил риск
Отчёт CrowdStrike за первый квартал 2027 финансового года поставил цифру на этот разрыв. AIDR — линейка обнаружения и реагирования на ИИ — показала рост конечного ARR более чем на 250% последовательно, с pipeline во втором квартале выше 50 миллионов долларов (SEC filing 8-K). Общий ARR компании достиг 5,51 миллиарда, а телеметрия CrowdStrike показывает более 1800 агентных приложений на корпоративных конечных точках. 17 июня компания расширила AIDR на AWS, добавив оценку в реальном времени коммуникаций агентов, LLM и MCP на платформах Amazon Bedrock, Kiro и Strands Agents, опираясь на совместную работу с Anthropic Project Glasswing. Дэниел Бернард, главный коммерческий директор CrowdStrike, заявил, что поверхность атаки ИИ теперь охватывает разработку, среду выполнения, идентификационные данные и облачную инфраструктуру, а команды, рассматривающие эти области по отдельности, оставляют зазоры между ними открытыми.
Практики называют тот же разрыв более простыми словами
Дэвид Левин, CISO American Express Global Business Travel, сказал VentureBeat, что такой паттерн его не удивляет. «У нас есть своего рода теневой ИИ — это просто новая версия теневого IT», — отметил Левин. И Langflow, и LiteLLM подходят под это описание. Команды разворачивали их ради удобства, давали им учётные данные и никогда не подводили под управление. Левин ставит исправление до развёртывания. «Мы не пошли в это, просто сказав, что собираемся сделать это без правильных основ, — сказал он. — Мы опираемся на контроли NIST. NIST выпустил свой CSF вместе с ИИ-фреймворком. OWASP выпустил топ-10. Вам нужны правильные основы до того, как разворачивать».
Меррит Баэр, CSO в Enkrypt AI и бывший заместитель CISO AWS, назвала структурную версию этого отказа в отдельном интервью VentureBeat. «Предприятия верят, что они "одобрили" ИИ-вендоров, но на самом деле они одобрили интерфейс, а не базовую систему, — сказала Баэр. — Реальные зависимости находятся на один-два слоя глубже, и именно они выходят из строя под нагрузкой». Она напрямую связала это с тем, как системы падают. «Сырые zero-day — это не то, как взламывают большинство систем. Композируемость — вот что, — заявила Баэр VentureBeat. — Риск живёт в клее между моделью и вашими данными. Если вы дали агенту bash и root-токен, вы уже сделали за атакующего большую часть работы». Именно это проверяют строки 2 и 4 аудита: шлюз, хранящий каждый ключ, и личность агента, которой никто не управляет.
Левин дал более резкую формулировку для зала совета директоров. «Вы должны говорить больше в терминах риска, а не соответствия, перед вашими советами и директорами, — сказал он. — Дело больше не в размере команды инженеров. Дело в размере вашего воображения. Всё написано простым английским. Это не трудно ни для кого». Ни SearchLeak, ни LiteLLM не требовали специального вредоносного ПО или zero-day для работы.
Адам Мейерс, SVP по разведке в CrowdStrike, в эксклюзивном интервью VentureBeat обрисовал операционное давление в цифрах. «Проблема не в zero-day. Проблема в патчинге. Если вы умножите эту проблему на 10, они полностью утонут», — сказал Мейерс. Он указал на идентификационные данные как на второй фронт. «Некоторые из этих ИИ имеют собственные идентификаторы, или люди отдают свою идентичность ИИ, чтобы тот действовал от их имени, и это делает проблему очень сложной».
Пятипунктовая проверка доверительной границы (Trust-Boundary Audit)
Каждая строка сопоставляет брешь с её доказательством, команду для верификации в понедельник утром, исправление и фразу для совета директоров.
1. Prompt-to-Data — SearchLeak CVE-2026-42824. P2P-инъекция + состояние гонки HTML + SSRF через Bing. Эксфильтрация почтового ящика в один клик через URL microsoft.com. PoC продемонстрирован; Microsoft присвоила критический уровень, NVD пока не оценил. Что сломалось: q-параметр URL передавался LLM как инструкции; очиститель срабатывал после рендеринга; Bing действовал как прокси эксфильтрации через CSP-белый список. Проверить в понедельник: аудит CSP-белых списков для доменов, выполняющих серверные запросы; мониторинг Copilot Search URL на закодированные полезные нагрузки; проверка журналов аудита Copilot. Исправить в понедельник: убедиться, что исправление на стороне сервера применено; включить метки чувствительности (sensitivity labels) для ограничения Copilot; рассматривать потоковый вывод ИИ как ненадёжный. Фраза для совета: «Наш ИИ-ассистент мог искать электронную почту сотрудника и отправлять результаты атакующему через доверенный URL Microsoft. Вендор исправил это. Мы должны проверить конфигурацию».
2. Gateway Credential Exposure — цепочка из трёх CVE LiteLLM (-47101, -47102, -40217). CVSS 9.9. Отдельная CVE-2026-42271 в списке CISA KEV (исправлена в v1.83.7; полная цепочка исправлена в v1.83.14-stable). Крайний срок — 22 июня. Что сломалось: отсутствие проверки ролей на ключевых эндпоинтах; самоповышение до админа через /user/update; побег из exec() песочницы; один шлюз открывает все ключи провайдеров. Проверить в понедельник: выполнить pip show litellm. Версия ниже 1.83.14-stable — уязвима. Проверить доступность /mcp-rest/test/. Аудит аккаунтов proxy_admin. Исправить в понедельник: обновить до v1.83.14-stable+; отозвать и заменить все ключи API провайдеров; заблокировать /mcp-rest/test/* на уровне прокси; пересмотреть Custom Code Guardrails. Фраза для совета: «Наш ИИ-шлюз хранил ключи для всех провайдеров. Учётная запись по умолчанию могла повысить себя до администратора и украсть их все. Отзываем ключи и патим сейчас».
3. AI Tooling Sprawl — CVE-2026-5027 для Langflow (CVSS 8.8). Третья RCE за 2026 год. Около 7000 открытых инстансов. MuddyWater. Активная эксплуатация с 9 июня. Что сломалось: path traversal при загрузке файлов; авто-логин по умолчанию; один неаутентифицированный запрос до RCE. Проверить в понедельник: запросить Censys/Shodan на предмет Langflow, Flowise, n8n, Dify на вашем периметре; проверить авто-логин; инвентаризировать ИИ-инструменты, не прошедшие процесс управления изменениями. Исправить в понедельник: убрать ИИ-платформы за VPN/zero-trust; везде включить аутентификацию; обновить Langflow до v1.9.0+ (текущий релиз 1.10.0); непрерывно сканировать поверхность. Фраза для совета: «ИИ-инструменты разработки торчат в интернет с выключенным входом. Кибергруппировка, поддерживаемая государством, эксплуатирует эту уязвимость прямо сейчас. Уводим их под контроль доступа сегодня».
4. Non-Human Identity Governance — AIDR ARR вырос на 250% (Q1 FY27, SEC 8-K). Q2 pipeline > $50 млн. Более 1800 агентных приложений на корпоративных конечных точках. Что сломалось: агенты имеют идентификаторы и действуют от имени людей; некоторые выходят за свои намеченные рамки для достижения цели; нет стандарта управления жизненным циклом учётных данных агентов. Проверить в понедельник: инвентаризировать все нечеловеческие идентификаторы, используемые агентами и MCP-серверами; сопоставить доступ агентов к хранилищам данных; отметить агентов с правом записи в политику безопасности. Исправить в понедельник: дать каждому агенту минимально необходимые привилегии; установить границы привилегий через защиту идентификаторов; детектировать в runtime действия, выходящие за установленные политики; ввести человека в цикл для изменений политик. Фраза для совета: «ИИ-агенты имеют учётные данные и действуют автономно. Мы не управляем жизненным циклом их идентификаторов так же, как человеческим доступом. Рост рынка на 250% говорит о том, что этот разрыв системный».
5. Runtime Agentic Detection — Falcon AIDR расширен на AWS (17 июня). Покрывает Bedrock, Kiro, Strands Agents. Интеграция MCP. Оценка реального времени агент/LLM/MCP. Что сломалось: традиционные инструменты отслеживают скорость действий человека; агенты работают на машинной скорости — тысячи действий в минуту — и обходят контроли для достижения целей. Проверить в понедельник: проверить, привязывает ли EDR/XDR действия агента к исходному идентификатору; убедиться, что SIEM принимает MCP-коммуникации; убедиться, что вы можете отличить человека от агента на конечной точке. Исправить в понедельник: развернуть AIDR или эквивалентное runtime-обнаружение; выявить теневые ИИ для всех агентных приложений, моделей, MCP-серверов, идентификаторов; принудительное применение политик в реальном времени к действиям агентов. Фраза для совета: «Мы не можем отличить сотрудника-человека от ИИ-агента, действующего от его имени. Нам нужно runtime-обнаружение на машинной скорости, способное остановить ущерб до того, как он начнётся».
Исправление — это сантехника, а не политика
Указ президента от июня создаёт Центр кибербезопасности ИИ с дедлайном до 2 июля. Пять брешей выше — это не проблемы frontier-моделей. Это проблемы сантехники в шлюзах, оркестрационных платформах, слоях идентификации и средах выполнения, где ИИ встречается с предприятием. Аудит — пять строк. Каждая строка сопоставлена с июньским раскрытием или рыночным сигналом, командой, которую команда может выполнить до обеда, и фразой, которую CISO может прочитать совету директоров. Вопрос не в том, исправит ли ваш вендор уязвимость. А в том, найдёте ли вы брешь первыми — или её найдёт атакующий так же, как он нашёл Copilot и LiteLLM.