Исследователи Zafran Security раскрыли детали набора уязвимостей DifyTap в Dify — open source-платформе для agentic workflow и AI-приложений, у которой, по данным The Hacker News, более 146 000 звёзд на GitHub. Всего описаны четыре проблемы: две получили критическую серьёзность, две могли эксплуатироваться без аутентификации, а три имели межтенантный эффект в облачном сервисе Dify. Главный риск — возможность читать приватные AI-чаты, ответы моделей и связанные файлы из приложений других клиентов.

По словам исследователей, дефекты позволяли создать скрытый канал эксфильтрации для сообщений и ответов модели. Один из сценариев был связан с отсутствующими проверками принадлежности tenant: атакующий мог настроить собственный LLM trace provider для доступного приложения и тем самым перенаправлять сообщения и ответы жертвы. Особенно опасно то, что для части сценариев достаточно было публично доступного приложения, а зарегистрировать аккаунт Dify может любой пользователь.

Другие проблемы затрагивали внутренний Plugin Daemon API и работу с файлами. Исследователи описывают возможность инициировать внутренние API-вызовы между арендаторами, просматривать документы, загруженные другими tenant’ами, и получать файлы внутри tenant’а через чужой уникальный идентификатор файла. Отдельно Zafran указала, что стек парсинга файлов Dify использовал версию PDFium, затронутую CVE-2024-5846 — use-after-free-уязвимостью с оценкой CVSS 8.8, которая потенциально может эксплуатироваться через специально подготовленный PDF.

Эта история показывает, почему безопасность AI-платформ отличается от классической веб-безопасности. В обычном SaaS утечка между арендаторами уже критична, но в AI-сервисах в чатах часто оказываются исходные документы, клиентские данные, внутренние инструкции, фрагменты кода и бизнес-контекст. Если трассировка LLM или обработка файлов настроены неправильно, злоумышленник получает не только технические метаданные, но и содержимое рабочих процессов.

После ответственного раскрытия Dify исправила все уязвимости, кроме CVE-2026-41948, в версии 1.14.2, выпущенной в прошлом месяце; исправление оставшейся проблемы ожидается в следующем релизе. Организациям, которые разворачивают Dify самостоятельно или используют его облачную версию, стоит проверить версию, обновить инсталляции и пересмотреть настройки публичных приложений, трассировки и доступа к загруженным файлам. Для AI-инфраструктуры это уже не второстепенные опции, а часть базовой модели угроз.

Источник: The Hacker News, 22 июня 2026