Chainlit: Kritische KI-Sicherheitslücken ermöglichen Cloud-Übernahme

Forscher decken zwei schwerwiegende Schwachstellen im beliebten KI-Framework auf, die zusammen zu einer vollständigen Übernahme der Cloud-Umgebung führen können. Die Sicherheitslücken in der Open-Source-Software Chainlit, einem weit verbreiteten Python-Framework für KI-Chatbots, stellen ein unmittelbares Risiko für Unternehmen dar. Betroffen sind laut Berichten auch Live-Systeme in der Finanz- und Energiebranche.

Die von der Cybersicherheitsfirma Zafran aufgedeckten Schwachstellen, katalogisiert als CVE-2026-22218 und CVE-2026-22219, sind jeweils für sich gefährlich. In Kombination bilden sie jedoch eine kritische Angriffskette. Angreifer können ohne Nutzerinteraktion zunächst sensible Dateien auslesen und im nächsten Schritt die komplette Kontrolle über die zugrundeliegende Cloud-Infrastruktur erlangen. Chainlit wurde im vergangenen Jahr über fünf Millionen Mal heruntergeladen und dient Entwicklern als schnelle Basis für KI-Anwendungen.

Die Maintainer des Projekts haben bereits ein Update veröffentlicht. Sicherheitsexperten drängen alle Nutzer zur sofortigen Installation der gepatchten Version 2.9.4 oder höher.

Passend zum Thema Cyber-Angriffe zeigt ein neuer Gratis-Report, warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche Schwachstellen Kriminelle aktuell bevorzugt ausnutzen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen (inklusive KI-bezogener Risiken), praxisnahe Schutzmaßnahmen und Prioritäten für IT-Teams – praktisch umsetzbar auch ohne großes Budget. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Im Kern handelt es sich um zwei klassische, aber folgenschwere Web-Schwachstellen. Die erste, CVE-2026-22218, erlaubt das willkürliche Auslesen von Dateien auf dem Server. Über eine manipulierte API-Schnittstelle kann ein Angreifer den Server dazu bringen, beliebige Dateien wie Quellcode, Konfigurationen oder Datenbanken preiszugeben, auf die die Anwendung Lesezugriff hat.

Die zweite Lücke, CVE-2026-22219, ist ein Server-Side Request Forgery (SSRF). Hierbei zwingt der Angreifer den Backend-Server, Anfragen an beliebige interne oder externe URLs zu stellen. Dies ist besonders in Cloud-Umgebungen gefährlich, da so normalerweise abgeschirmte interne Dienste ausgespäht werden können.

So führt die Kette zur Cloud-Übernahme

Die eigentliche Brisanz entfaltet sich, wenn ein Angreifer beide Schwachstellen kombiniert. Der typische Angriffsweg sieht so aus:

1. Auslesen der Geheimnisse: Zunächst nutzt der Angreifer die Dateileseschwachstelle, um kritische Systemdateien wie /proc/self/environ auf Linux-Servern zu stehlen. Diese enthalten die Umgebungsvariablen der Anwendung – oft ein Schatz an Zugangsdaten, API-Schlüsseln und, am verheerendsten, Cloud-Authentifizierungstokens.

2. Die Brücke schlagen: Mit den gestohlenen Cloud-Zugangsdaten im Gepäck, kommt die SSRF-Lücke zum Einsatz. In einer typischen AWS-Umgebung kann der Angreifer den Server dazu bringen, eine Anfrage an den EC2 Instance Metadata Service (IMDS) zu stellen. Ist die veraltete, unsichere Version IMDSv1 aktiviert, lassen sich damit temporäre IAM-Sicherheitsanmeldedaten für die Server-Instanz abrufen.

3. Volle Kontrolle: Mit diesen Berechtigungen ist der Angreifer nicht länger auf die Anwendung beschränkt. Er kann direkt mit den Cloud-Provider-APIs interagieren, Speicher löschen, Datenbanken manipulieren, neue Server starten und sich lateral im gesamten Cloud-Konto bewegen. Die komplette Infrastruktur ist kompromittiert.

Alte Fehler, neue Dimension: KI-Infrastruktur im Fokus

Der Vorfall ist eine deutliche Warnung: Während sich die Diskussion um KI-Sicherheit oft auf neuartige Angriffe wie Prompt-Injection konzentriert, bleibt die klassische Software-Infrastruktur ein Hauptziel. Die in Chainlit gefundenen Lücken sind altbekannte Web-Schwachstellen. Im Kontext moderner KI-Systeme, die oft mit sensiblen Daten verbunden sind und weitreichende Cloud-Berechtigungen haben, ist ihre Wirkung jedoch potenziell katastrophal.

Der Innovationsdruck in der KI-Entwicklung führt zu einer starken Abhängigkeit von Open-Source-Frameworks. Dieser Fall unterstreicht das inhärente Supply-Chain-Risiko. Die Sicherheit einer KI-Anwendung ist nur so stark wie ihr schwächstes Glied in der Software-Kette. Unternehmen sind gefordert, Fremdcode streng zu prüfen und ein rigoroses Patch-Management zu betreiben.

Die bereits im November 2025 an die Entwickler gemeldeten Schwachstellen wurden mit Version 2.9.4 vom 24. Dezember 2025 geschlossen. Für Organisationen, die nicht sofort patchen können, hat Zafran Erkennungsmuster für Intrusion-Detection-Systeme und Web Application Firewalls veröffentlicht. Die Branche rechnet nun mit verstärkten Sicherheitsüberprüfungen ähnlicher KI-Entwicklungstools.

PS: Wenn Sie Chainlit-Schwachstellen und ähnliche Risiken im eigenen Unternehmen ernst nehmen, hilft ein kompakter Leitfaden für den schnellen Einstieg: Das Gratis-E-Book enthält eine Checkliste, priorisierte Sofortmaßnahmen und Hinweise zu neuen Regulierungen (inklusive KI-Verordnung), damit IT-Teams zielgerichtet handeln können. Ideal für Mittelstand und Verantwortliche, die ihre Cloud-Umgebung jetzt absichern wollen. Gratis-Leitfaden: Cyber Security Awareness Trends anfordern