Habr AI reveals how a single open port in an LLM platform exposed API keys and infrastructure
An audit of a large RAG platform revealed an uncomfortable truth: the most dangerous vulnerabilities often aren't in prompts, LangChain, or exotic CVEs—they're
История из аудита крупной RAG-платформы показывает неприятный для AI-рынка вывод: самые дорогие инциденты часто начинаются не с «умной» атаки на модель, а с банальной ошибки в инфраструктуре. Команда две недели искала сложные уязвимости, но в итоге получила доступ к ключам и внутренним сервисам буквально за несколько минут.
Как нашли доступ
Аудиторы тестировали сервис с десятками тысяч пользователей и сначала шли по ожидаемому для LLM-стека маршруту: проверяли SSRF в связке с LangChain, пробовали промпт-инъекции, анализировали обработку HTTP и искали уязвимости в десериализации. Логика понятна: именно эти направления обычно обсуждают, когда речь заходит о безопасности RAG, агентов и LLM-приложений. Но ни одна из длинных цепочек не дала рабочего результата. Критическая находка появилась не в приложении, а на уровне плохо закрытой инфраструктуры.
«Мы сделали один curl к открытому порту — и получили все ключи за 5 минут».
Эта фраза хорошо передаёт главный контраст материала. Пока индустрия боится экзотических атак на оркестрацию моделей, в реальных продакшенах часто остаются открытые интерфейсы, через которые можно увидеть конфиги, служебные переменные окружения, внутренние URL и токены к внешним API. Если такие секреты лежат рядом с рабочими ключами, компрометация одного сервиса быстро превращается в компрометацию всей платформы.
Почему так происходит LLM-платформы редко живут как один сервер с одной моделью.
Обычно это набор микросервисов: API-шлюз, оркестратор цепочек, векторная база, хранилище файлов, очереди, внутренние админки, провайдеры embeddings, логирование, мониторинг и биллинг. Каждый новый компонент добавляет сеть, секреты, роли и точки интеграции. В итоге у команды может быть хорошо настроен пользовательский интерфейс и базовая авторизация, но слабо изолированы внутренние порты, отладочные панели или контейнеры с привилегированным доступом.
Проблема усугубляется тем, что AI-стартапы часто мыслят угрозами на уровне модели. Они много обсуждают jailbreak, утечку системного промпта, галлюцинации и защиту RAG-контекста, но откладывают классическую DevSecOps-гигиену. Между тем именно она определяет, сможет ли злоумышленник добраться до секретов, облачной инфраструктуры или платных ключей на сотни тысяч долларов.
Если внутренний сервис слушает сеть без нужды, а секреты доступны процессу «на всякий случай», LLM здесь уже не основная проблема — она просто увеличивает стоимость последствий.
Где чаще ошибаются
Материал полезен тем, что возвращает разговор о безопасности AI-сервисов к базовым вопросам инженерной дисциплины. Даже если приложение построено вокруг сложной цепочки retrieval, агентов и нескольких моделей, атакующий почти всегда ищет самый дешёвый путь. И этот путь нередко лежит через старые привычные ошибки, которые знакомы любой команде, работавшей с облачной инфраструктурой и контейнерами.
- Открытые внутренние порты и сервисы без жёсткого ACL Секреты в env, логах или конфигурации, доступной соседним сервисам Избыточные права у контейнеров, раннеров и сервисных аккаунтов Отсутствие сегментации между RAG-слоем, админкой и облачной инфраструктурой Фокус на prompt injection при игнорировании сетевой гигиены Для продукта это значит, что аудит безопасности нельзя сводить к red teaming промптов. Нужна инвентаризация всех компонентов вокруг модели: какие сервисы торчат наружу, какие ключи доступны каждому контейнеру, где включены отладочные интерфейсы, как ограничен исходящий и входящий трафик, кто имеет доступ к логам и снапшотам окружения. Без этого даже качественная защита прикладного слоя оставляет инфраструктуру уязвимой, а любая компрометация превращается из локального бага в полномасштабный инцидент с утечкой данных, бюджета и доступа к провайдерам.
Что это значит
Главный вывод простой: AI-продукт надо защищать не как «особую магию на LLM», а как обычную критичную платформу с дорогими секретами и большим радиусом поражения. Если базовая инфраструктура не закрыта, никакие разговоры про сложные атаки на модель не спасут — одна открытая дверь окажется важнее всей вашей AI-архитектуры.