- Vanna AIライブラリには、プロンプトインジェクションの脆弱性があり、リモートコード実行(RCE)が可能であることが発見された。
- JFrogの研究者らは、Vanna AI実装におけるチャート生成プロセスの脆弱性によって、ユーザーのプロンプトを介してペイロードをRCEさせることが可能であることを発見した。
- 脆弱性は、中国科学院情報工程研究所の博士課程学生であるTong Liuによっても独自に発見され、Huntr Bug Bountyプラットフォームを通じて報告された。
この記事は、Vanna AIライブラリのセキュリティ脆弱性について詳細に説明しています。プロンプトインジェクションにより、ユーザーがマルウェアコードを埋め込むことができ、その結果リモートコード実行が可能となることが示されています。JFrogは問題をVanna AIに報告し、開発者向けの対策ガイダンスを提供しています。
元記事: https://www.scmagazine.com/news/vanna-ai-prompt-injection-vulnerability-enables-rce