系统:运行中
← 返回所有攻击
DATA LEAK CRITICAL NEW

Cognee 的设置接口让任意注册账号即可改写整个实例的 LLM 提供方

2026 年 7 月的一则通告显示,AI 记忆平台 Cognee 暴露了一个未做管理员校验的设置路由:一个自助注册的账号即可把整个实例的所有 LLM 调用重定向到攻击者的端点,窃取全部用户的数据。

2026-07-08 // 6 min affects: cognee, cognee-<1.2.0, self-hosted-ai-memory

摘要 2026 年 7 月 7 日披露的一个漏洞出现在 Cognee——一个流行的面向智能体的开源「AI 记忆」平台。其设置接口在没有任何管理员或超级用户校验的情况下即可修改整个实例范围的 LLM 提供方配置。任何能够自助注册的账号,都可以把服务器上的所有模型调用指向自己控制的端点,从而把记忆引擎变成面向全体用户的数据外泄通道。受影响版本为 1.2.0 之前;修复已包含在 1.2.0 中。本文是一篇授权缺陷分析,而非漏洞利用教程。

这是什么?

Cognee 是面向 LLM 智能体的开源记忆层:你用 .add() 加入文档,用 .cognify() 将其构建为带嵌入的知识图谱,再用 .search() 查询结果。它把图存储、向量存储和关系型元数据整合为单一的「持久记忆」服务。该项目采用 Apache-2.0 许可,GitHub 星标数远超一万,既可自托管,也可用于多用户环境。

该缺陷于 2026 年 7 月 7 日进入 CVE 生态,并记录在 VulnCheck 的通告与 Cognee 自身的问题追踪中,本质是设置 API 上缺失授权校验。写入服务器 LLM 提供方配置的那个路由不做任何管理员或超级用户验证,因此任意账号——包括攻击者通过开放的自助注册所创建的账号——都可以将其覆盖。该漏洞评为 CVSS 9.1(严重),对机密性与完整性影响均为高,弱点归类为「关键功能缺失身份验证」。

工作原理

这里没有什么奇特的 payload。问题在于谁有权调用一个特权功能,而答案是「任何人」。流程如下:

实例级提供方劫持(受影响版本)
------------------------------------
1. 攻击者在 Cognee 实例上自助注册一个普通账号
2. 攻击者调用设置接口,写入 LLM 提供方配置
   --> 未执行任何管理员 / 超级用户校验
3. 配置将 base URL / 提供方指向攻击者控制的端点
4. 一个进程级单例把该配置缓存给整个服务器
5. 此后每个用户的 .cognify() 与 .search() 都会把 提示词 + 文档
   经由攻击者的端点转发

关键的放大点在第 4 步。由于配置存放在进程级单例缓存中,一次写入并不只影响攻击者自己的会话——它改变了整个实例的提供方。自此,每个用户的提示词、上传文档、抽取的实体以及知识图谱内容都会流经攻击者控制的基础设施。机密性被破坏(读取所有人的数据)与完整性被破坏(把被篡改的模型输出回灌到共享记忆中)同时发生,且无需任何权限或用户交互。

为何重要

智能体「记忆」平台正日益成为受信任的共享基础设施:团队把内部文档、对话历史与抽取实体倒进其中,正是为了让多个智能体和用户查询一个共同的大脑。这使得提供方配置成为皇冠明珠般的设置——它决定了每一条提示词、每一份文档被发往何处。把「更改模型端点」当作普通用户操作,而非特权管理操作,会彻底瓦解租户边界。

更广泛的教训并不局限于某一个项目。随着 LLM 工具链匆忙加入设置页、管理面板与自助注册,Web 应用的经典失误——一个改变状态却从不校验调用者角色的接口——再次出现,而且影响半径更大,因为如今单个可写字段就控制着整台机器上全部 AI 流量的路由。一个任何已认证调用者都能改写的全局单例,就是失效的访问控制(CWE-306 / 缺失函数级授权),正是 OWASP Top 10 多年来一再警告的漏洞,只不过披上了 AI 的外衣。

防御

  1. 升级到 Cognee 1.2.0 或更高版本。 修复在设置路径上加入了授权校验;若自托管,请先打补丁,并查阅发布说明中需要重新设置的配置项。
  2. 收紧注册与网络暴露。 不要在可从互联网访问的记忆实例上开放自助注册。将其置于已认证的入口之后,并限制谁能访问 API。
  3. 对每个改变状态的路由强制函数级授权。 任何写入全局或提供方配置的接口,都必须在服务端验证管理员/超级用户角色——绝不能依赖界面隐藏按钮。审计你自己的 AI 工具链,找出跳过这一步的设置路由。
  4. 把提供方 / base URL 配置当作特权机密。 通过环境变量或部署配置固定允许的提供方端点,而非运行时可写字段,并对模型 base URL 的任何变更发出告警。
  5. 监控记忆服务的出站流量。 模型调用突然发往意料之外的主机是高信号指标;监控并对推理与记忆组件的出站目的地做白名单。

Status

项目参考日期说明
通告VulnCheck — CVE-2026-584732026-07-07经由设置 API 未授权覆盖 LLM 配置
弱点类别CWE-306关键功能缺失身份验证 / 授权
严重程度CVSS 3.1 基础分 9.1(严重)AV:N/AC:L/PR:N/UI:N——机密性与完整性影响高
受影响版本Cognee< 1.2.0带自助注册的多用户 / 自托管部署
修复版本Cognee 1.2.02026-07在设置路径加入管理员校验(commit d10b1b7)

诚实的表述不是「一个 AI 记忆被黑了」。而是:一个共享记忆服务把所有人的数据经由单一可配置端点转发,而访问控制最古老的规则依然成立——能改变整台服务器行为的功能,必须校验调用者是否有权改变它。

Sources