AbejaIT AbejaIT

Luki DifyTap w platformie Dify mogą ujawniać rozmowy AI między dzierżawcami

07.07.2026

Badacze z Zafran Security ujawnili cztery podatności w platformie Dify — popularnym narzędziu open-source do budowania agentowych przepływów AI — zbiorczo nazwane DifyTap. Luki umożliwiają nieautoryzowany dostęp do konwersacji z modeli AI należących do innych dzierżawców systemu, co stanowi poważne zagrożenie w środowiskach wielotenant. Organizacje korzystające z Dify powinny priorytetowo zweryfikować konfigurację i śledzić aktualizacje.

Platformy do budowania agentowych aplikacji AI — takie jak Dify, LangChain, czy Flowise — zyskują na popularności w tempie, które często wyprzedza dojrzałość procesów bezpieczeństwa otaczających ich wdrożenia. Ujawnione przez Zafran Security podatności DifyTap w platformie Dify są symptomatyczne dla szerszego trendu: rosnąca adopcja narzędzi AI w środowiskach enterprise wiąże się z nowym rodzajem ryzyka bezpieczeństwa, dla którego tradycyjne modele ochrony mogą być niewystarczające.

Czym jest Dify i dlaczego jest popularny w B2B?

Dify to open-source'owa platforma umożliwiająca tworzenie aplikacji opartych na dużych modelach językowych (LLM) — od prostych chatbotów po złożone systemy agentyczne z dostępem do narzędzi zewnętrznych, baz danych i API. Platforma oferuje wizualny konstruktor przepływów, zarządzanie promptami, monitoring rozmów i mechanizmy wielodostępu (multi-tenancy), co czyni ją popularnym wyborem dla firm chcących budować wewnętrzne narzędzia AI lub produkty oparte na LLM.

Model wielotenant oznacza, że wiele organizacji lub zespołów może korzystać z jednej instancji Dify, zachowując pozorną izolację swoich danych, promptów i historii rozmów. Właśnie ta izolacja jest kluczowym wymogiem bezpieczeństwa — i właśnie ona okazała się nieszczelna w przypadku podatności DifyTap.

Szczegóły podatności DifyTap

Badacze z Zafran Security zidentyfikowali cztery powiązane ze sobą luki, które razem tworzą ścieżkę ataku umożliwiającą nieautoryzowany dostęp do zasobów innych dzierżawców:

  • Niewystarczająca kontrola dostępu — endpointy API nie weryfikowały poprawnie, czy żądający użytkownik ma prawo dostępu do zasobów innego tenanta.
  • Insecure Direct Object Reference (IDOR) — możliwość bezpośredniego odwołania do identyfikatorów rozmów lub aplikacji innych dzierżawców przez podmianę parametrów w żądaniu.
  • Błędy izolacji kontekstu — mechanizmy izolacji tenantów były nieskuteczne w określonych przepływach API.
  • Luka w zarządzaniu sesją — w określonych warunkach sesja jednego użytkownika mogła uzyskać dostęp do zasobów przypisanych do innego tenanta.

Konsekwencją exploitacji tych luk jest możliwość odczytania historii rozmów, promptów systemowych, konfiguracji aplikacji i wyników zapytań do LLM należących do innych organizacji korzystających z tej samej instancji Dify. Dla firm, które wdrożyły Dify jako wewnętrzne narzędzie pracy z wrażliwymi danymi (analizy prawne, dokumenty handlowe, dane HR), naruszenie izolacji tenant oznacza potencjalny wyciek informacji poufnych.

Implikacje dla organizacji wdrażających platformy AI

Podatności DifyTap wskazują na systemowe ryzyko, które pojawia się przy szybkim wdrażaniu narzędzi AI: bezpieczeństwo wielodostępu wymaga głębokiej weryfikacji na poziomie każdego endpointu i przepływu danych, a nie tylko globalnych mechanizmów uwierzytelniania. Organizacje wdrażające platformy AI powinny przeprowadzać testy penetracyjne środowisk multi-tenant przed udostępnieniem ich szerszemu gronu użytkowników.

Warto też pamiętać, że historię rozmów z LLM często cechuje wyjątkowo wysoka wrażliwość — użytkownicy często wklejają do chatbotów dane, których nie umieściliby w zwykłym tickecie helpdesk. Zarządzanie dostępem do tych danych powinno podlegać takim samym rygorom, co dostęp do systemów CRM czy ERP.

AbejaIT: bezpieczne wdrożenia platform AI dla firm B2B

Wdrożenie agentycznej AI w organizacji B2B to nie tylko projekt technologiczny — to inicjatywa wymagająca starannego zarządzania ryzykiem. W AbejaIT oferujemy kompleksowe doradztwo i wdrożenia w zakresie rozwiązań AI dla firm, uwzględniające aspekty bezpieczeństwa, zgodności z RODO i zarządzania danymi już na etapie projektowania architektury.

Jeśli Twoja organizacja rozważa wdrożenie platformy AI do budowania chatbotów, automatyzacji workflow lub narzędzi analitycznych, nasz zespół pomoże zaprojektować środowisko z uwzględnieniem izolacji danych, kontroli dostępu i audytowalności. Doradztwo IT w obszarze AI obejmuje ocenę dojrzałości bezpieczeństwa wybranej platformy, konfigurację środowiska i procedury monitorowania. Nie wdrażaj AI bez świadomości ryzyka — wdrażaj AI z planem zarządzania tym ryzykiem.

Praktyczne kroki dla organizacji korzystających z platform AI

Dla organizacji korzystających z Dify lub innych platform AI multi-tenant, podatności DifyTap powinny być sygnałem do przeprowadzenia przeglądu bezpieczeństwa konfiguracji. Pierwszym krokiem jest weryfikacja, czy platforma jest aktualna i czy dostawca wydał poprawki adresujące opisane podatności. Następnie warto przejrzeć uprawnienia użytkowników i tenantów, usunąć nieużywane konta i aplikacje oraz włączyć audytowe logowanie aktywności.

Długoterminowo, wybierając platformy AI do wdrożenia, organizacje powinny uwzględniać bezpieczeństwo jako jeden z kluczowych kryteriów oceny — obok funkcjonalności, wydajności i kosztów. Platformy z aktywnym programem bug bounty, przejrzystą polityką ujawniania podatności i regularnie aktualizowaną dokumentacją bezpieczeństwa są bezpieczniejszym wyborem niż projekty, które nie traktują bezpieczeństwa priorytetowo. W ekosystemie open-source, aktywność społeczności w zakresie bezpieczeństwa (liczba CVE-ów, czas od zgłoszenia do naprawy, jakość dokumentacji) jest dobrym wskaźnikiem dojrzałości projektu. Inwestycja w staranny wybór platformy AI na początku projektu jest wielokrotnie tańsza niż zarządzanie skutkami kompromitacji danych w środowisku produkcyjnym.

Źródło: The Hacker News