Lỗ hổng cực kỳ nghiêm trọng trong ChromaDB cho phép chiếm quyền máy chủ AI

[WhiteHat Team]

Một lỗ hổng nghiêm trọng vừa được phát hiện trong nền tảng cơ sở dữ liệu vector ChromaDB đang khiến cộng đồng an ninh mạng và AI đặc biệt lo ngại, khi kẻ tấn công có thể chiếm quyền thực thi mã từ xa trên máy chủ mà không cần xác thực. Với mức độ ảnh hưởng được đánh giá ở ngưỡng tối đa, sự cố này tiếp tục gióng lên hồi chuông cảnh báo về các rủi ro bảo mật đang gia tăng trong hệ sinh thái AI hiện đại.
​

Lỗ hổng được định danh CVE-2026-45829, ảnh hưởng tới phiên bản Python FastAPI của ChromaDB - nền tảng mã nguồn mở phổ biến chuyên lưu trữ và truy xuất dữ liệu ngữ nghĩa cho các ứng dụng AI, đặc biệt là hệ thống Retrieval-Augmented Generation (RAG) và các AI agent tự động. Đây là thành phần được nhiều doanh nghiệp và nhà phát triển sử dụng để giúp mô hình ngôn ngữ lớn (LLM) tìm kiếm thông tin liên quan trong quá trình suy luận.

Theo nhóm nghiên cứu từ HiddenLayer, điểm nguy hiểm nằm ở quy trình xử lý xác thực của máy chủ API Python. Một endpoint được đánh dấu yêu cầu đăng nhập lại thực hiện thao tác tải và khởi chạy mô hình AI trước khi kiểm tra quyền truy cập hoàn tất. Điều này mở ra cơ hội cho kẻ tấn công gửi yêu cầu độc hại, buộc hệ thống tải model chứa mã nguy hiểm từ nền tảng Hugging Face rồi thực thi trực tiếp trên máy chủ mục tiêu.

Nói cách khác, cơ chế xác thực tuy tồn tại nhưng được đặt sai vị trí trong chuỗi xử lý. Đến thời điểm hệ thống từ chối yêu cầu và trả về lỗi, đoạn mã độc đã kịp hoạt động bên trong máy chủ. Đây là kiểu sai sót logic đặc biệt nguy hiểm vì có thể bị khai thác hoàn toàn từ xa mà không cần tài khoản hay quyền truy cập ban đầu.

Rủi ro của CVE-2026-45829 đặc biệt đáng quan ngại khi ChromaDB hiện đang được triển khai rộng rãi trong các hệ thống AI doanh nghiệp. Gói cài đặt của dự án trên PyPI hiện ghi nhận gần 14 triệu lượt tải mỗi tháng, đồng nghĩa phạm vi ảnh hưởng có thể rất lớn nếu các máy chủ API bị mở công khai ra Internet.

Dữ liệu khảo sát từ HiddenLayer cho thấy khoảng 73% instance ChromaDB đang lộ diện trên Internet sử dụng phiên bản có nguy cơ bị tấn công. Lỗ hổng được cho là xuất hiện từ ChromaDB 1.0.0 và vẫn tồn tại tới phiên bản 1.5.8. Dù phiên bản 1.5.9 đã được phát hành gần đây, hiện chưa có xác nhận chính thức liệu vấn đề đã được xử lý triệt để hay chưa.

Các chuyên gia cho biết người dùng triển khai ChromaDB cục bộ, không public API hoặc sử dụng frontend viết bằng Rust sẽ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, những hệ thống AI kết nối Internet trực tiếp bằng Python API server đang đối mặt với nguy cơ bị chiếm quyền điều khiển hoàn toàn.

Trong thời gian chờ xác nhận bản vá đầy đủ, các tổ chức cần hạn chế tối đa việc công khai API ChromaDB ra Internet, đồng thời triển khai cơ chế kiểm soát truy cập mạng đối với cổng dịch vụ. Ngoài ra, giới chuyên gia cũng nhấn mạnh việc quét và kiểm tra model AI trước khi tải về là bước cần thiết, đặc biệt khi bật tùy chọn trust_remote_code – cơ chế cho phép thực thi mã đi kèm model từ nguồn bên ngoài.
​

Sự cố lần này tiếp tục cho thấy các thành phần AI hiện đại đang dần trở thành mục tiêu hấp dẫn của tội phạm mạng. Khi mô hình AI không chỉ xử lý dữ liệu mà còn có khả năng tải plugin, thực thi code và tương tác trực tiếp với hạ tầng hệ thống, một lỗi logic nhỏ trong quy trình xác thực cũng có thể nhanh chóng biến thành cửa ngõ chiếm quyền máy chủ ở quy mô lớn.​