Penjelasan teknis
Dukungan Spring AI untuk Anthropic's Skills API meneruskan nama file yang dihasilkan LLM langsung ke Path.resolve sebelum menulis file ke disk tanpa sanitasi. Pengguna jahat yang dapat mempengaruhi output LLM (misalnya melalui prompt yang dirancang atau prompt injection tidak langsung) dapat menyebabkan aplikasi menulis file di luar direktori target yang dimaksud, termasuk direktori sistem yang dibatasi. Ini adalah contoh langsung dari 'output LLM adalah input aplikasi' — konten yang dihasilkan model merambat ke operasi filesystem tanpa validasi.
Vektor serangan
Penyerang mempengaruhi output penamaan file LLM (melalui prompt injection langsung atau tidak langsung dalam alur kerja agentic) untuk memasukkan token path traversal (misalnya '../../etc/'). Spring AI meneruskan nama file yang berasal dari LLM tanpa sanitasi ke Path.resolve, yang menyelesaikan traversal, dan file ditulis ke lokasi yang diinginkan penyerang sebelum validasi path apa pun terjadi.
Sistem yang terdampak
Versi Spring AI 1.1.0 hingga 1.1.x. Khususnya mempengaruhi deployment yang menggunakan fitur dukungan Anthropic Skills API yang mencakup operasi file write. Spring AI banyak digunakan dalam implementasi alur kerja agentic Java enterprise.
Mitigasi
Upgrade ke Spring AI 1.1.7 segera. Sebagai tindakan defence-in-depth, terapkan validasi jalur kanonik pada semua nama file yang berasal dari LLM, batasi root file write ke direktori yang secara eksplisit dalam daftar putih, perlakukan semua jalur yang dihasilkan model sebagai input yang tidak dipercaya, dan audit setiap alur kerja AI tempat output model mengendalikan jalur filesystem, argumen tool, atau parameter API.