廣泛應用於人工智慧(AI)應用程式的開源向量資料庫 ChromaDB,近日被揭露存在一個最高嚴重等級的安全漏洞,追蹤編號為
CVE-2026-45829。
該漏洞允許未經身份驗證的攻擊者,在暴露於網際網路的伺服器上執行任意程式碼,構成完全系統入侵的風險。根據資安公司 HiddenLayer 的調查,目前約 73% 的公開在網路的實例仍運行存在漏洞的版本,威脅範圍相當廣泛。
漏洞根源:驗證邏輯順序錯置
CVE-2026-45829 由資安公司 HiddenLayer 發現,並於今年 2 月 17 日向 ChromaDB 官方通報。HiddenLayer 將此漏洞評定為最高嚴重等級,問題核心在於 Python FastAPI 版本伺服器中,一個標記為需要身份驗證的 API 端點存在邏輯缺陷:系統在執行身份驗證檢查之前,便已允許嵌入模型設定參數。
HiddenLayer 在其研究報告中指出,攻擊者可透過構造特定請求,強制 ChromaDB 從 Hugging Face 平台載入惡意模型並在伺服器本地端執行,而身份驗證機制此時尚未介入攔截。待驗證步驟觸發時,惡意模型早已完成載入與執行,伺服器雖隨後回傳 500 錯誤並拒絕請求,但攻擊者的惡意程式碼已執行完畢。
HiddenLayer 研究人員對此說明:「身份驗證機制本身並未缺失,問題在於它被放置在錯誤的位置。當驗證觸發時,模型已經被擷取並執行。伺服器拒絕了請求,回傳了 500 錯誤,但攻擊者的惡意程式早已運行。」
影響範圍:PyPI 套件每月下載近 1,400 萬次
ChromaDB 是一款開源向量資料庫與 AI 檢索後端,廣泛應用於 AI 代理(Agentic AI)及大型語言模型(LLM)推論過程中的語義相關文件檢索場景。其 PyPI 套件每月下載量接近 1,400 萬次,顯示在全球開發者社群中的普及程度。
CVE-2026-45829 自 ChromaDB 1.0.0 版本引入,在 1.5.8 版中仍未修補。兩週前,維護者發布了 1.5.9 版本,但目前尚不清楚此版本是否已修復上述安全問題。
需要特別說明的是,並非所有部署情境均受此漏洞影響。僅在本地端部署且未將 API 伺服器對外暴露的用戶,以及使用 Rust 前端的用戶,不受 CVE-2026-45829 影響。漏洞僅在 Python API 伺服器透過 HTTP 對外開放時才可被利用。
通報三個月無回應,開源維護責任再受質疑
此次事件中,另一個值得關注的面向是漏洞揭露過程的困境。自 2 月 17 日通報至今,HiddenLayer 研究人員多次透過電子郵件及社群媒體嘗試聯繫 ChromaDB 開發者,始終未獲任何回應。外媒嘗試向 Chroma 團隊查詢 CVE-2026-45829 的修補狀態,截至報導發布時同樣未獲回覆。
CVE-2026-45829 再度引發開源 AI 套件維護責任的關注。企業在選用開源元件建置 AI 應用時,應將供應商或社群的安全回應能力納入評估考量。
緩解措施:三項建議降低暴露風險
在官方確認修補狀態明朗之前,HiddenLayer 提出以下緩解建議,供受影響用戶參考:
- 切換至 Rust 前端: 改用 ChromaDB 的 Rust 前端進行部署,可規避此漏洞的影響範圍。
- 限制網路存取: 透過防火牆或網路存取控制,限制對 ChromaDB API 連接埠的外部存取,避免伺服器直接暴露於網際網路。
- 掃描 ML 模型工件: 研究人員特別提醒,在載入公開模型時若啟用 trust_remote_code 參數,實質上等同於執行不受信任的程式碼,建議企業在模型執行前先行掃描機器學習(ML)模型工件。
對於正在建置或已上線 AI 應用、並採用 ChromaDB 作為向量資料庫後端的企業,建議立即盤點部署環境,確認 Python API 伺服器是否存在對外暴露情形,並儘速採取上述緩解措施。
本文轉載自 BleepingComputer 。