Вчора фахівці з безпеки виявили дві критичні вразливості (CVE-2026-22218 та CVE-2026-22219) у популярному Python-пакеті Chainlit, який використовується понад 700 000 разів на місяць для створення інтерфейсів чат-ботів. Помилки дозволяють зловмисникам без будь-якої взаємодії з користувачем читати довільні файли на сервері та отримувати доступ до внутрішніх мережевих сервісів.

Через ці дірки хакери можуть викрасти «секретні ключі», токени доступу до API та навіть зміст конфіденційних баз даних, на яких тренуються корпоративні ШІ. Оскільки Chainlit є основою для багатьох внутрішніх інструментів великих компаній, цей злам становить серйозну загрозу для корпоративної таємниці в глобальному масштабі.

Якщо ваша компанія розробляє власні ШІ-інструменти на базі Python, ви можете бути вразливими. Розробникам необхідно негайно оновити Chainlit до версії 2.9.4 або вище. Перевірте свої змінні оточення (ENV variables) на предмет витоку секретів і змініть критичні паролі, якщо ви використовували вразливі версії бібліотеки до 20 січня.