Ett vanligt konto räckte för att läsa andras AI-chattar – nu avslöjas grundfelen i en av AI-ekosystemets nyckelplattformar

När grundstenen spricker

Det är lätt att fascineras av hur snabbt AI-ekosystemet växer. Nya plattformar, nya verktyg, nya möjligheter – ungefär varje vecka. Men den senaste tidens nyheter påminner oss om att hastighet och säkerhet sällan är naturliga vänner.

Säkerhetsföretaget Zafran Security rapporterar i SecurityWeek om fyra allvarliga säkerhetshål i AI-plattformen Dify – ett verktyg som används för att bygga, driftsätta och övervaka AI-drivna applikationer inom fler än 50 branscher. Sårbarheterna, samlade under namnet DifyTap, är inte marginella buggar. De är fundamentala brister i hur plattformen hanterar behörighetskontroll i flerkunds-miljöer.

Vad innebär det i praktiken? En angripare med ett vanligt användarkonto kunde läsa privata chattkonversationer från andra kunders applikationer, utföra obehöriga anrop mot andra kunders miljöer, och ladda ned filer uppladdade av andra användare. Det handlar alltså om ett fullständigt sammanbrott för den isolering som flerkunds-arkitektur är helt beroende av.

Tekniken bakom bristerna

De två allvarligaste sårbarheterna är nästan läroboksexempel på klassiska säkerhetsmissar – vilket gör dem extra frustrerande att läsa om.

Den första, CVE-2026-41947 med allvarlighetspoängen 9,1 av 10, låg i plattformens spårningsfunktion för AI-applikationer. Slutpunkterna för att konfigurera spårning saknade helt enkelt kontroll av vem som skickade förfrågningen. Resultatet: vem som helst kunde skapa en beständig avlyssningskanal mot en publik applikation. Det är i princip att lämna dörren olåst och sätta upp en välkomstskylt.

Den andra, CVE-2026-41948 med poängen 9,4, berörde insticksprogramshanteraren. Här utnyttjades sökvägsmanipulering – en sårbarhet som säkerhetsbranschen kämpat mot i decennier – för att nå godtyckliga delar av systemet. Att denna typ av brist dyker upp i en modern AI-plattform är ett tecken på att grundläggande säkerhetstänk ibland trängs undan i jakten på snabb funktionsutveckling.

Det handlar om förtroende i hela kedjan

Det som gör DifyTap-sårbarheterna särskilt intressanta ur ett systemperspektiv är att Dify är en öppen källkods-plattform. Det är i grunden en styrka – öppen granskning brukar på sikt leda till säkrare kod. Men det ställer också krav på att säkerhetsarbetet är proaktivt, inte reaktivt.

Detta är precis den balansgång som Carl Froggett, säkerhetschef och IT-chef på AI-säkerhetsbolaget Deep Instinct, beskriver i en intervju med SecurityWeek. Froggett bär båda rollerna samtidigt – något han menar är logiskt på ett bolag med färre än 200 anställda, men som skulle vara omöjligt på en stor organisation. Hans viktigaste insikt är att kombinationen kräver en aktiv motkultur mot tunnelseende: "Jag ber aktivt mitt IT-team att utmana mina beslut."

Det är en påminnelse om att säkerhet inte är ett tillstånd man uppnår – det är ett kontinuerligt ifrågasättande av sina egna antaganden. För AI-plattformar som Dify, med sin enorma räckvidd, är den insikten avgörande.

Möjligheten som döljer sig i problemet

Jag vill vara tydlig: det faktum att dessa sårbarheter hittades och rapporterades är faktiskt ett gott tecken. Det visar att säkerhetsgemenskapen tar AI-infrastruktur på allvar och granskar den med samma kritiska blick som traditionell mjukvara.

Men det påminner oss om att AI-omställningen inte bara handlar om modeller och träningsdata. Den handlar om hela den infrastruktur som bär upp dessa system – och den infrastrukturen behöver byggas med mognad och säkerhetsperspektiv inbyggt från grunden, inte tilläggat i efterhand.

En miljon appar är många. Det är också en enorm möjlighet att nu ställa rätt krav på hur nästa generation AI-plattformar konstrueras.