技术说明
NVD在5月31日发布了四个影响Aider-AI Aider版本0.86.3的CVE,这是一个受欢迎的开源AI编码助手,拥有超过20K的GitHub星标,被开发者和AI工程团队广泛使用。CVE-2026-10175(CVSS 6.3):通过Architect Mode中的editor_coder.run函数进行代码注入——远程攻击者可以以低复杂度和无需先前身份验证的方式注入并执行任意代码。CVE-2026-10174(CVSS 6.3):预提交钩子处理程序允许操纵git-commit-verify参数,绕过保护机制。CVE-2026-10176(CVSS 6.3):代码生成工作流组件中的SQL注入。CVE-2026-10177(CVSS 6.3):通过api_docs.py中的requests.get函数的SSRF,利用AWS EC2元数据端点访问。所有四个CVE都存在公开利用工具。截至5月31日,供应商尚未响应或发布修复。
攻击途径
所有四个CVE都是网络可利用的,攻击复杂性低。CVE-2026-10175和CVE-2026-10174需要低权限;CVE-2026-10176和CVE-2026-10177似乎可以在无身份验证的情况下利用,取决于部署上下文。Aider按设计操作时具有广泛的文件系统和shell访问权限,这意味着其Architect Mode中的代码注入在开发者工作站和CI/CD环境上会造成重大影响范围。
受影响系统
Aider-AI Aider版本0.86.3。安装了Aider且可远程访问的开发者工作站、CI/CD流水线和云托管开发环境。
缓解措施
截至5月31日无官方补丁可用。缓解措施:(1)将Aider限制为仅本地访问(无网络暴露实例);(2)如不需要,禁用Architect Mode;(3)监控供应商GitHub(https://github.com/Aider-AI/aider)以获取补丁版本;(4)将Aider视为不受信任的输入边界——不要与生产凭证或密钥并置。