Investigadores de ciberseguridad han revelado múltiples vulnerabilidades de alta gravedad en Chainlit, un popular framework de inteligencia artificial de código abierto utilizado para crear chatbots conversacionales y aplicaciones basadas en LLM. Los fallos, denominados colectivamente ChainLeak, podrían permitir a los atacantes robar datos sensibles, filtrar claves API, acceder a archivos críticos del sistema y facilitar movimientos laterales dentro de organizaciones vulnerables, especialmente en entornos cloud.
El descubrimiento fue realizado por Zafran Security, que advirtió que estas vulnerabilidades no solo afectan a la aplicación de IA en sí, sino que pueden convertirse en un punto de entrada directo a la infraestructura subyacente, comprometiendo servidores, servicios internos y credenciales de la nube.
Chainlit: un framework ampliamente adoptado
Chainlit es un marco de desarrollo diseñado para simplificar la creación de interfaces conversacionales impulsadas por modelos de lenguaje. Su adopción ha crecido de forma exponencial en los últimos meses. De acuerdo con estadísticas compartidas por la Python Software Foundation, el paquete ha sido descargado más de 220.000 veces en la última semana, acumulando 7,3 millones de descargas en total.
Esta popularidad convierte cualquier vulnerabilidad en Chainlit en un riesgo sistémico, especialmente para organizaciones que integran frameworks de IA directamente en entornos productivos y cloud sin un modelo de amenazas maduro.
Detalles técnicos de las vulnerabilidades ChainLeak
Zafran identificó dos vulnerabilidades principales, ambas localizadas en el flujo de actualización
1 | /project/element |
, que pueden explotarse de forma individual o combinada para lograr un compromiso grave del sistema.
CVE-2026-22218 – Lectura arbitraria de archivos
-
Gravedad: Alta
-
CVSS: 7.1
Esta vulnerabilidad permite a un atacante autenticado leer cualquier archivo accesible por el servicio Chainlit dentro de su propia sesión. El fallo se debe a la falta de validación adecuada de los campos controlados por el usuario.
En términos prácticos, esto significa que un atacante puede acceder a archivos sensibles del sistema operativo, configuraciones internas o incluso secretos almacenados localmente, rompiendo por completo el modelo de aislamiento de la aplicación.
Un ejemplo especialmente crítico es la posibilidad de leer el archivo
1 | /proc/self/environ |
, que suele contener:
-
Variables de entorno
-
Claves API
-
Credenciales cloud
-
Rutas internas y configuraciones sensibles
Esta información puede utilizarse para escalar privilegios, acceder a otros servicios internos o comprometer completamente el entorno de ejecución de la aplicación de IA.
Además, si Chainlit utiliza SQLAlchemy con un backend SQLite, el fallo podría explotarse para extraer directamente archivos de bases de datos, exponiendo datos de usuarios y lógica interna de la aplicación.
CVE-2026-22219 – SSRF en Chainlit con SQLAlchemy
-
Gravedad: Alta
-
CVSS: 8.3
La segunda vulnerabilidad es aún más peligrosa. Se trata de un fallo de Server-Side Request Forgery (SSRF) que permite a un atacante realizar solicitudes HTTP arbitrarias desde el servidor Chainlit hacia:
-
Servicios internos de la red
-
APIs privadas
-
Endpoints de metadatos en la nube
Este problema se manifiesta cuando Chainlit se configura con SQLAlchemy como backend de la capa de datos, permitiendo al atacante almacenar las respuestas obtenidas, lo que facilita la exfiltración de información sensible.

Riesgo crítico en entornos cloud: AWS IMDSv1
El impacto de estas vulnerabilidades se amplifica de forma considerable cuando Chainlit se despliega en Amazon Web Services (AWS). Si la aplicación se ejecuta en una instancia EC2 con IMDSv1 habilitado, el fallo SSRF puede explotarse para acceder a la dirección local de metadatos (169.254.169.254).
A través de este endpoint, un atacante podría:
-
Enumerar roles IAM asociados a la instancia
-
Obtener credenciales temporales de AWS
-
Acceder a servicios cloud adicionales
-
Facilitar movimiento lateral dentro del entorno cloud
“Una vez que un atacante obtiene acceso arbitrario a la lectura de archivos en el servidor, la seguridad de la aplicación de IA comienza a colapsar rápidamente”, explicaron los investigadores Gal Zaban e Ido Shani de Zafran Security.
“Lo que inicialmente parece un defecto contenido se convierte en acceso directo a los secretos más sensibles y al estado interno del sistema.”
Corrección y advertencia sobre frameworks de IA
Tras una divulgación responsable realizada el 23 de noviembre de 2025, el equipo de Chainlit corrigió ambas vulnerabilidades con el lanzamiento de Chainlit 2.9.4, publicado el 24 de diciembre de 2025. Se recomienda encarecidamente a todas las organizaciones actualizar inmediatamente.
Zafran subrayó que este incidente es representativo de un problema más amplio:
“A medida que las organizaciones adoptan rápidamente frameworks de IA y componentes de terceros, se están integrando directamente en la infraestructura de IA vulnerabilidades de software de larga data.”
En otras palabras, los sistemas de IA no son inmunes a fallos clásicos, como lectura arbitraria de archivos o SSRF, pero su impacto puede ser mayor debido a la concentración de datos sensibles y credenciales en estos entornos.
Vulnerabilidad similar en Microsoft MarkItDown MCP
La revelación coincide con el descubrimiento de una vulnerabilidad SSRF en el servidor MarkItDown Model Context Protocol (MCP) de Microsoft, identificada por BlueRock y denominada MCP fURI.
El fallo permite la llamada arbitraria de recursos URI mediante la herramienta
1 | convert_to_markdown |
, exponiendo a las organizaciones a:
-
SSRF
-
Escalada de privilegios
-
Fugas de datos
Según BlueRock, la falta de restricciones en los URI permite acceder a recursos HTTP y archivos locales, incluyendo los metadatos de instancias EC2, lo que podría derivar en la obtención de credenciales AWS completas si existe un rol asociado.
El análisis de más de 7.000 servidores MCP reveló que el 36,7 % probablemente está expuesto a vulnerabilidades SSRF similares.
Medidas de mitigación recomendadas
Para reducir el riesgo en aplicaciones de IA y MCP, los expertos recomiendan:
-
Migrar a IMDSv2 en AWS
-
Implementar bloqueos de IP privadas
-
Restringir el acceso a servicios de metadatos
-
Aplicar listas de permisos (allowlists) para URIs
-
Auditar frameworks de IA como cualquier otro componente crítico
En fin…
Las vulnerabilidades ChainLeak en Chainlit y MCP fURI en MarkItDown ponen de manifiesto que los frameworks de IA introducen nuevas superficies de ataque que, si no se gestionan adecuadamente, pueden comprometer por completo infraestructuras cloud y datos sensibles. En un contexto de adopción acelerada de la IA, la seguridad debe evolucionar al mismo ritmo que la innovación.
Fuente: The Hacker News
