ChromaDB yra atvirojo kodo vektorinė duomenų bazė, naudojama dirbtinio intelekto programose. Ji padeda surasti semantiškai panašius dokumentus ir duomenis, kai dirbtinio intelekto modeliai apdoroja užklausas.

Ar visi ChromaDB naudotojai yra pažeidžiami?

Ne. Pavojus gręsia tik tiems, kurie naudoja Python FastAPI versiją ir savo serverį padarė prieinamą internetu. Lokalūs diegimai bei Rust pagrindu sukurta sąsaja šios spragos nepatiria.

Kas yra CVE-2026-45829?

Tai unikalus kodas, priskirtas konkrečiai ChromaDB saugumo spragai. CVE sistema leidžia saugumo tyrėjams ir programinės įrangos kūrėjams vienodai identifikuoti ir sekti pažeidžiamumus visame pasaulyje.

ChromaDB duomenų bazėje aptikta maksimalaus pavojingumo spraga, leidžianti perimti AI serverius

2026 m. gegužės 20 d. Saugumo tyrėjai iš HiddenLayer įspėjo apie kritinę spragą populiarioje atvirojo kodo duomenų bazėje ChromaDB. Ši pažeidžiamumas, registruotas kaip CVE-2026-45829, gavo maksimalų pavojingumo įvertinimą ir gali leisti piktavalams nuotoliniu būdu vykdyti savavalę programinę įrangą serveryje.

ChromaDB yra vektorinė duomenų bazė, plačiai naudojama dirbtinio intelekto programose. Ji leidžia greitai surasti semantiškai susijusius dokumentus, kai dirbtinio intelekto modeliai generuoja atsakymus. Tik ChromaDB Python FastAPI versija, kai serveris yra prieinamas internetu, yra pažeidžiama. Lokalūs diegimai ir Rust pagrindu sukurta sąsaja šios rizikos neturi.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Saugaus kodo platformos HiddenLayer tyrėjai nustatė, kad ChromaDB serverio API taškas, formaliai pažymėtas kaip reikalaujantis autentifikacijos, leidžia piktavalams įkelti kenksmingą modelį prieš patikrinant naudotojo tapatybę. Paprastai tariant, sistema pirmiausia parsisiunčia ir vykdo svetimą modelį iš Hugging Face platformos, o tik paskui patikrina, ar naudotojas turi teisę tai daryti. Tuomet, kai autentifikacija atmesta, kenksmingas kodas jau būna įvykdytas.

ChromaDB Python paketas iš PyPI registrą atsisiunčia beveik 14 milijonų kartų per mėnesį. Pasak HiddenLayer, maždaug 73 proc. internete matomų ChromaDB serverių veikia su pažeidžiama versija. ChromaDB kūrėjai buvo informuoti apie spragą dar vasario 17 d., tačiau per kelis mėnesius į saugumo pranešimus neatsakė. Neseniai išleista 1.5.9 versija, tačiau neaišku, ar spraga joje ištaisyta.

Tyrėjai rekomenduoja naudotojams, kurie diegia ChromaDB, rinktis Rust pagrindu sukurtą sąsają arba uždaryti Python API serverį nuo viešosios prieigos. Dar viena apsaugos priemonė yra apriboti prieigą prie ChromaDB prievado vidiniame tinkle. Be to, prieš diegiant bet kokius modelius iš viešųjų šaltinių verta juos patikrinti kenksmingo kodo požiūriu.

Dažnai užduodami klausimai

Kas yra ChromaDB?: ChromaDB yra atvirojo kodo vektorinė duomenų bazė, naudojama dirbtinio intelekto programose. Ji padeda surasti semantiškai panašius dokumentus ir duomenis, kai dirbtinio intelekto modeliai apdoroja užklausas.
Ar visi ChromaDB naudotojai yra pažeidžiami?: Ne. Pavojus gręsia tik tiems, kurie naudoja Python FastAPI versiją ir savo serverį padarė prieinamą internetu. Lokalūs diegimai bei Rust pagrindu sukurta sąsaja šios spragos nepatiria.
Kas yra CVE-2026-45829?: Tai unikalus kodas, priskirtas konkrečiai ChromaDB saugumo spragai. CVE sistema leidžia saugumo tyrėjams ir programinės įrangos kūrėjams vienodai identifikuoti ir sekti pažeidžiamumus visame pasaulyje.

Šaltiniai

Max-severity flaw in ChromaDB for AI apps allows server hijackingBleepingcomputer · 2026
The Hacker News – ChromaDB Vulnerability AnalysisThehackernews · 2026