Speicherbereich öffentlich zugänglich

Sicherheitsrisiko bei KI-Plattform Dify: Konto-Übernahme per Mausklick

Hacker
LinkedInRedditWhatsApp

Die KI-Plattform Dify wies kritische Sicherheitslücken auf. Angreifer konnten Konten per One-Click-Verfahren vollständig übernehmen.

Die Open-Source-Plattform Dify, die als eine der populärsten Low-Code-Umgebungen für die Entwicklung von Anwendungen auf Basis künstlicher Intelligenz gilt, war von weitreichenden Sicherheitsmängeln betroffen. Wie das IT-Sicherheitsunternehmen Imperva im Rahmen einer detaillierten Untersuchung dokumentierte, erlaubten zwei kritische Schwachstellen unter anderem eine vollständige Übernahme von Benutzerkonten mit nur einem einzigen Klick. Dify verzeichnet auf der Entwicklerplattform GitHub mehr als 142.000 Sterne, und die zugehörigen Docker-Container-Images wurden laut Plattformdaten bereits über 10 Millionen Mal heruntergeladen. Das System ermöglicht es Unternehmen, sogenannte agentenbasierte Workflows und RAG-Pipelines (Retrieval-Augmented Generation) ohne tiefgehende Programmierkenntnisse aufzusetzen. Die gefundenen Schwachstellen gefährdeten hochsensible Datenbestände, darunter API-Schlüssel zu kommerziellen KI-Modellen, Zugangsdaten für verknüpfte Dienste sowie geschützte Quelltexte von Unternehmen.

Anzeige

Speicherbereich war öffentlich zugänglich

Das erste von den Imperva-Analysten identifizierte Sicherheitsrisiko betrifft die Art und Weise, wie Dify hochgeladene Dateien verarbeitet und speichert. Die Plattform legte alle von Nutzern hochgeladenen Dokumente und Medien standardmäßig in einem öffentlich zugänglichen Speicherbereich ab, ohne eine Authentifizierung oder strikte Zugriffskontrolle zu erzwingen. Erschwerend kam hinzu, dass die URLs für diese Dateipfade einem leicht vorhersehbaren Muster folgten. Die kritische Schwachstelle resultierte aus einer fehlerhaften DNS-Konfiguration der Server-Infrastruktur: Die für Dateiuploads genutzte Subdomain upload.dify.ai war als direkter DNS-Alias (CNAME) für die Hauptanwendungsdomain cloud.dify.ai eingerichtet, über welche die primäre Benutzerauthentifizierung und die Verwaltung der KI-Workflows abgewickelt werden.

Cyberkriminelle konnten diese Architektur ausnutzen, indem sie ein temporäres Testkonto erstellten und eine manipulierte Datei im SVG-Format (Scalable Vector Graphics) hochluden. Da SVG-Dateien auf XML basieren, können sie nativen JavaScript-Code enthalten. Wenn ein Angreifer in der URL der hochgeladenen Datei die Subdomain manuell von „upload“ auf „cloud“ änderte und diesen präparierten Link an das Opfer übermittele, öffnete der Webbrowser des Opfers die Datei im vollen Sicherheitskontext der Hauptanwendung. Sobald das Opfer den Link anklickte, wurde der eingebettete Schadcode ausgeführt. Der Script-Befehl erlangte dadurch uneingeschränkten Zugriff auf den aktiven Sitzungskontext (Session Context), einschließlich der lokalen Speicherdaten (Local Storage), der Authentifizierungs-Cookies und der API-Schnittstellen des angemeldeten Benutzers, was eine sofortige und vollständige Kontoübernahme zur Folge hatte.

Stillschweigende Fehlerbehebung nach zweimonatiger Frist

Die administrative Aufarbeitung des Vorfalls verlief ohne direkte Kommunikation zwischen den Parteien. Das Bedrohungsforschungsteam von Imperva hatte die erste formelle Warnmeldung (Responsible Disclosure) am 14. Januar 2026 an die Verantwortlichen von Dify übermittelt. Nach Angaben der Sicherheitsforscher reagierte das Entwicklerteam der KI-Plattform auf keine der gesendeten Benachrichtigungen. Stattdessen erfolgte am 17. März 2026, etwas mehr als zwei Monate nach der Erstübermittlung, eine stillschweigende Veröffentlichung einer Fehlerbehebung (Silent Patch).

Anzeige

Der Software-Fix korrigierte das Problem auf Webserver-Ebene, indem der HTTP-Response-Header für hochgeladene Dateien manipuliert wurde. Der Inhaltstyp (Content-Type) der Serverantwort wurde dauerhaft auf den Wert application/octet-stream festgeschrieben. Diese technische Anweisung zwingt den Webbrowser des Clients dazu, die aufgerufene Datei als Binär-Download lokal abzuspeichern, anstatt sie direkt interaktiv im Browserfenster zu rendern. Dadurch wird das automatische Ausführen von eingebetteten Skripten unterbunden. Die Analysten warnen jedoch, dass zahlreiche selbst gehostete Instanzen (Self-Hosted Instances) in Unternehmen über Monate hinweg ungepatcht bleiben und Systemadministratoren die Versionsstände dringend manuell verifizieren müssen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mangelhafte Isolation von Programmiercode im Sandbox-System

Die zweite von Imperva dokumentierte Schwachstelle betrifft eine unzureichende Isolation von Mandanten (Tenant Isolation) innerhalb von geteilten Cloud-Umgebungen. Dify verfügt über eine integrierte Sandbox, die dafür vorgesehen ist, den von verschiedenen Nutzern ausgeführten Python-Code strikt voneinander zu trennen. Die technische Überprüfung ergab jedoch, dass die jeweiligen Python-Ausführungsprozesse auf dasselbe physische Verzeichnis im Dateisystem zugriffen und unter einer identischen, hardcodierten Systemidentität ausgeführt wurden.

Ein Angreifer war dadurch in der Lage, über ein eigenes Skript die im temporären Ordner /tmp hinterlegten privaten Quelltexte und Anwendungscodes anderer Kunden auszulesen. Zwar implementierte Dify eine Verschlüsselung für diese temporären Dateien, doch erwies sich diese als kryptografisch unzureichend. Die Forscher rekonstruierten den gestohlenen Quellcode direkt, da es sich bei der Verschlüsselung lediglich um eine einfache, byte-weise Vigenère-Chiffre mit einem sich wiederholenden 64-Byte-Schlüssel handelte. In späteren Software-Aktualisierungen korrigierte Dify diesen logischen Fehler, indem jedem Ausführungsprozess eine eindeutige Systemidentität zugewiesen wurde, um den unbefugten Dateizugriff zu blockieren. Die schwache Verschlüsselungsmethode blieb im untersuchten Patch-Stand jedoch unverändert.

Strukturelle Sicherheitsdefizite im wachsenden KI-Ökosystem

Die IT-Sicherheitsanalysten bewerten die Vorfälle bei Dify als symptomatisch für eine tieferliegende, strukturelle Herausforderung innerhalb des gesamten Marktes für KI-gestützte Entwicklungswerkzeuge. Der enorme Wettbewerbsdruck zwingt Plattformbetreiber dazu, in hoher Frequenz neue Funktionen für Kollaboration, Dateiaustausch und Multi-Tenant-Umgebungen zu implementieren, während die Härtung der digitalen Angriffsflächen oft vernachlässigt wird.

Wenn Plattformen das Vertrauen von Unternehmen zentralisieren, um komplexe Workflows zu steuern, müssen sie auch die Isolation unvertrauenswürdiger Eingaben (Untrusted Input) mit höchster technologischer Strenge umsetzen. Da die Tools zunehmend als Integrationsknotenpunkte für geschäftskritische Daten fungieren, hinkt der reale Sicherheitsstatus der betrieblichen Bedeutung der Systeme hinterher.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
SonicWall
21. Mai 2026
MFA-Bypass bei SonicWall: Hacker unterwandern VPN-Appliances
Social Media Verbot
21. Mai 2026
Aktionsrat Bildung: Empfehlung von Altersgrenzen für Social Media
21. Mai 2026
Trapdoor: Millionen-Betrug im Play Store gestoppt
SpaceX
21. Mai 2026
SpaceX plant Börsengang trotz Milliardenverlusten

Weitere Artikel

MFA-Bypass bei SonicWall: Hacker unterwandern VPN-Appliances
Aktionsrat Bildung: Empfehlung von Altersgrenzen für Social Media
Trapdoor: Millionen-Betrug im Play Store gestoppt
SpaceX plant Börsengang trotz Milliardenverlusten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.