Više ranjivosti u Jan AI, koji se reklamira kao alternativa za ChatGPT otvorenog koda, mogle bi biti iskorišćene od strane daljinskih, neautentifikovanih napadača za manipulaciju sistemima, upozorava bezbjednosna platforma za programere Snyk.
Razvijen od strane Menlo Research-a, Jan AI je lični asistent koji radi oflajn na računarima i mobilnim uređajima, sa bibliotekom modela popularnih velikih jezičkih modela (LLM) i podrškom za ekstenzije radi prilagođavanja.
Jan, koji ima preko milion preuzimanja na GitHub-u, omogućava korisnicima da preuzmu i pokreću LLM-ove lokalno, bez oslanjanja na cloud hosting servise, pružajući im potpunu kontrolu nad vještačkom inteligencijom.
Asistent koristi Menlo-ov samohostovani AI mehanizam Cortex.cpp, koji funkcioniše kao serverski API, dok je korisnički interfejs zasnovan na Electron aplikaciji. Preko Cortex-a, korisnici mogu preuzimati modele iz posvećenog repozitorijuma i sa HuggingFace-a, kao i uvoziti lokalne modele pohranjene u GGUF formatu.
Budući da su Jan i Cortex dizajnirani za lokalni rad, nedostaje im autentifikacija, što ih čini podložnim napadima sa malicioznih web stranica.
Analiza AI asistenta koju je sproveo Snyk otkrila je funkciju za otpremanje fajlova na server bez sanitizacije, što bi mogla iskoristiti maliciozna stranica za upis proizvoljnih fajlova na uređaj.
Daljom istragom otkrivene su greške van granica u Jan-ovom GGUF parseru, kao i nedostatak zaštite od falsifikovanja zahtjeva između sajtova (CSRF) na serveru, što može biti iskorišćeno na non-GET krajnjim tačkama, uprkos tome što Cortex ima implementiranu zaštitu od dijeljenja resursa između različitih izvora (CORS).
Iskorišćavanjem ranjivosti za proizvoljno upisivanje fajlova između različitih izvora, napadač bi mogao zapisati prilagođeni GGUF fajl na server, a zatim iskoristiti nedostatak CSRF zaštite da ga uveze i pokrene čitanje van granica, omogućavajući tako napadaču da učita podatke u polje metapodataka koje kontroliše.
Slanjem zahtjeva između različitih izvora, napadač može ažurirati konfiguraciju servera i potpuno onemogućiti CORS, a zatim povratno pročitati procurele podatke slanjem zahtjeva ka metapodataka modela, navodi Snyk.
„Procurivanje podataka preko mreže pomoću GGUF fajla je prilično interesantno, ali ne dolazi bez određenih ograničenja. Ne možemo kontrolisati šta će biti mapirano nakon našeg prilagođenog modela, pa samim tim ne možemo sa sigurnošću reći da li će se osjetljivi podaci otkriti“, ističu iz bezbjednosne firme.
Otkriveno je i da je AI podložan daljinskom izvršavanju koda (RCE) preko Cortex.cpp-ove podrške za python-engine. Budući da je taj mehanizam C++ omotač koji izvršava Python binarni fajl, napadač može ažurirati konfiguraciju modela i ubrizgati maliciozni kod u binarni fajl, omogućavajući izvršavanje komandi prilikom pokretanja modela.
Snyk je 18. februara obavijestio Menlo o svojim nalazima, a svi problemi su riješeni do 6. marta. Izdata su četiri CVE identifikatora: CVE-2025-2446 (proizvoljno upisivanje fajlova putem prelaska putanja), CVE-2025-2439 (čitanje van granica u GGUF parseru), CVE-2025-2445 (ubacivanje komandi u ažuriranje Python engine modela) i CVE-2025-2447 (nedostatak CSRF zaštite).
Izvor: SecurityWeek