技术说明
Spring AI 的 MilvusVectorStore doDelete 方法容易受到通过未经清理的文档 ID 进行的过滤表达式注入攻击。攻击者可以制作恶意 ID 值,这些值直接嵌入到 Milvus 过滤表达式中而不是参数化,允许在用于 RAG 和代理 AI 内存系统的向量数据库的删除操作期间执行任意过滤逻辑。
攻击途径
能够控制传递给 MilvusVectorStore 删除操作的文档 ID 的攻击者可以注入任意过滤表达式。由于文档 ID 被连接到过滤字符串中而不是作为绑定参数传递,精心制作的 ID 可以突破预期的过滤上下文并删除或操纵意外的向量记录。这在用户输入或外部数据影响向量存储操作中使用的文档标识符的应用程序中可以直接利用。
受影响系统
Spring AI 1.0.0 到最新的 1.0.x(1.0.7 之前)和 Spring AI 1.1.0 到最新的 1.1.x(1.1.6 之前)。影响使用 Milvus 作为检索增强生成、代理内存或语义搜索应用程序的向量存储后端的部署。
缓解措施
将 Spring AI 升级到 1.0.x 分支的 1.0.7 或更高版本,或升级到 1.1.x 分支的 1.1.6 或更高版本。检查应用程序代码以确保向量存储删除操作中使用的文档 ID 经过验证,并且不是来自未经清理的不可信输入。在 Milvus 实例上实施最小权限访问控制,以限制过滤注入发生时的爆炸半径。