DifyTap: уязвимости в Dify могут раскрывать AI‑чаты между арендаторами

DifyTap: ranjivosti u Dify mogu otkriti AI-ćaskanja između zakupaca
Kolege, želim skrenuti pažnju u oblasti sajber bezbednosti: istraživači iz Zafran Security opisali su DifyTap — četiri ranjivosti u Dify koje omogućavaju čitanje AI-ćaskanja drugih klijenata bez autentifikacije.
Ključne tačke:
- Dve ranjivosti su kritične; tri imaju cross‑tenant efekat — moguće je skriveno curenje poruka i odgovora modela.
- Pogođeni su Plugin Daemon API, pregled fajlova i parsiranje PDF-a (ranjivi PDFium).
- Lista: CVE-2026-41947/41948/41949/41950 i CVE-2024-5846.
Zašto je ovo važno: svako se može registrovati u Dify i podesiti traciranje, kreirajući kanal za eksfiltraciju.
Preporučujem da ažurirate Dify na 1.14.2 i pratite zakrpe. Kako Vi planirate da reagujete na slične pretnje?
#sajberbezbednost #cloudbezbednost #AIbezbednost #ranjivost


Последние комментарии
Комментариев пока нет.