文章总结： SpringAI框架披露三个高危漏洞：CVE-2026-41705（CVSS8.6）允许通过恶意过滤器表达式导致Milvus向量数据库数据销毁；CVE-2026-41713（CVSS8.2）为内存中毒漏洞，可篡改LLM对话记忆以操纵模型行为；CVE-2026-41712（CVSS7.5）因默认会话ID硬编码引发跨用户数据泄露。建议受影响版本（1.0.0-1.0.x/1.1.0-1.1.x）立即升级至1.0.7或1.1.6修复版本。 综合评分： 85 文章分类： 漏洞分析,应用安全,云安全,安全建设,解决方案

数据破坏和内存中毒：Spring AI漏洞威胁LLM完整性

sec随谈 sec随谈

sec随谈

2026年5月11日 08:57 北京

在小说阅读器读本章

去阅读

Spring AI 是一个旨在简化 Spring 开发人员 AI 集成的流行框架，它发布了一份安全公告，解决了三个严重漏洞。

从数据销毁到跨用户数据泄露和即时注入，这些漏洞威胁着人工智能驱动型应用程序的完整性和机密性。管理 Spring AI 部署的安全团队必须立即优先修复这些漏洞。

以下是目前威胁 Spring AI 基础架构的三个漏洞的详细说明。

通过 Milvus 进行数据销毁 ( CVE-2026-41705 )

该漏洞的严重性评分最高（CVSS 8.6），对向量数据库的完整性构成直接威胁。

该缺陷存在于框架处理数据库删除操作的方式中。具体而言，“Spring Al 的 Milvus VectorStore#doDelete(List) 实现存在漏洞，攻击者可以通过未经清理的文档 ID 注入过滤器表达式”。攻击者可以通过向删除方法传递精心构造的未经清理的输入，操纵过滤器表达式，从而可能导致 Milvus VectorStore 中出现大范围的未经授权的数据销毁。

内存中毒（CVE-2026-41713）

该漏洞的 CVSS 评分为 8.2，凸显了持续性 AI 对话的独特风险。该缺陷存在于 PromptChatMemoryAdvisor 组件中。

与针对数据库的传统 SQL 注入不同，这是一种针对 LLM 本身的心理攻击。根据该安全公告，“恶意用户可以精心构造输入，并将其存储在对话记忆中，随后模型会以非预期的方式解读这些输入”。由于被篡改的输入会被存储并在之后被调用，因此处理用户控制输入的应用程序“容易受到操纵，导致模型在对话过程中的行为发生改变”。这使得攻击者能够在看似无害的聊天过程中，逐步操纵人工智能的防护机制或输出逻辑。

跨用户数据泄露（CVE-2026-41712）

该漏洞的 CVSS 评分为 7.5，暴露了 Spring AI 在隔离用户会话方面存在严重的架构缺陷。

问题源于一个硬编码的备用值。报告警告称，“Spring AI 的聊天内存组件包含一个有问题的默认值，如果不显式覆盖，可能会导致用户之间意外的数据泄露”。如果开发者未能手动为每个用户的聊天会话分配唯一的 ID，框架将默认使用共享的 DEFAULT_CONVERSATION_ID，从而无意中合并不同用户的聊天记录，并将敏感查询暴露给陌生人。

为解决此问题，“此修复程序移除了隐式默认对话 ID”。开发者必须注意，“升级后，未显式将 conversationId 传递给内存顾问的应用程序将抛出异常”。部署补丁之前，请确保您的代码使用 .advisors(a -> a.param(ChatMemory.CONVERSATION\_ID, id)) 显式设置对话标识符。

补救措施：升级路径

这三个漏洞会影响运行 Spring AI 版本 1.0.0 至 1.0.x 以及 1.1.0 至 1.1.x 的应用程序。

Spring 维护者已针对两个分支发布了开源软件 (OSS) 补丁。受影响版本的用户应升级到相应的修复版本：

• 如果您使用的是1.0.x分支：请立即升级到1.0.7。
• 如果您使用的是1.1.x分支：请立即升级到1.1.6。

随着人工智能框架的日趋成熟，它们正成为新型攻击技术的主要目标。立即审核您的 Spring AI 依赖项，确保您的 AI 端点不存在数据泄露或易受恶意内存篡改的风险。

参考链接：

https://spring.io/security/cve-2026-41705

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《数据破坏和内存中毒：Spring AI漏洞威胁LLM完整性》