Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wanneer uw vectordatabase Pre-Auth RCE uitdeelt, heeft RAG een Data Layer-probleem
Wanneer uw vectordatabase Pre-Auth RCE uitdeelt, heeft RAG een Data Layer-probleem

Wanneer uw vectordatabase Pre-Auth RCE uitdeelt, heeft RAG een Data Layer-probleem

by Patrick Spencer updated mei 29, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Op 18 mei 2026 publiceerde HiddenLayer onderzoek naar ChromaToast — formeel CVE-2026-45829. CVSS-score: 10.0. Aanvalsvector: netwerk. Vereiste privileges: geen. Gebruikersinteractie: geen. De kwetsbaarheid bevindt zich in de create_collection-handler van de ChromaDB Python FastAPI-server: de server vertrouwt op door de client aangeleverde modelidentificaties en handelt daarnaar — inclusief het laden van code uit externe HuggingFace-repositories met trust_remote_code op true — voordat de authenticatiecontrole plaatsvindt. Een niet-geauthenticeerde aanvaller stuurt een HTTP-verzoek, de server haalt modelcode op die door de aanvaller wordt beheerd en voert deze uit, met als resultaat willekeurige code-executie met toegang tot API-sleutels, omgevingsvariabelen, gekoppelde geheimen en elk bestand dat het serverproces kan lezen.

De op Shodan gebaseerde scan van HiddenLayer toonde aan dat ongeveer 73% van de deployments blootgesteld is. HiddenLayer meldt het eerste contact met het Chroma-project op 17 februari 2026, met gedocumenteerde opvolgingen op 24 februari, 5 maart en 16 april — zonder reactie te ontvangen. Onafhankelijk onderzoeker Azraelxuemo meldde hetzelfde probleem in november 2025 en kreeg ook geen reactie. De tijdelijke mitigatie is netwerkbeperking. Er is geen patch beschikbaar.

5 Belangrijkste Inzichten

1. ChromaToast is een CVSS 10.0 pre-auth RCE die actief wordt misbruikt.

HiddenLayer maakte CVE-2026-45829 openbaar op 18 mei 2026, van toepassing op alle ChromaDB Python FastAPI-serverversies sinds 1.0.0. Ongeveer 73% van de via internet toegankelijke deployments is kwetsbaar. Er is geen patch beschikbaar. Capital One en UnitedHealthcare worden vermeld op de homepage van Chroma. Dit is geen randtool — het is infrastructuur die RAG op schaal draait, en incidentrespons begint hier zonder een pad naar een oplossing.

2. De bug onthult een dieper architecturaal falen in RAG.

ChromaDB heeft 13 miljoen maandelijkse pip-downloads en ondersteunt productie-RAG-pijplijnen bij Mintlify, Factory AI en Weights & Biases. Wanneer de database met embeddings, prompts en opgehaalde documenten pre-auth exploiteerbaar is, valt elk geheim dat het serverproces kan lezen binnen de scope — API-sleutels, omgevingsvariabelen, gekoppelde inloggegevens en alles wat daaraan verbonden is. Dit is geen kwetsbaarheid in de applicatielaag. Het is een kwetsbaarheid in de onderliggende datainfrastructuur.

3. Exploitatie van kwetsbaarheden is nu het dominante datalekvector voor het eerst in 19 jaar.

Het Verizon DBIR-rapport 2026 meldt dat 31% van de datalekken voortkomt uit niet-gepatchte kwetsbaarheden tegenover 13% door misbruik van inloggegevens — voor het eerst in de geschiedenis van het rapport voert exploitatie de boventoon. IBM X-Force meldt dat exploitatie van publiek toegankelijke applicaties met 44% is gestegen ten opzichte van het voorgaande jaar, waarbij 56% van de gemelde kwetsbaarheden geen authenticatie vereist om te misbruiken. RAG-infrastructuur is onder deze dynamiek een geloofwaardig doelwit, geen hypothetisch scenario.

4. De meeste organisaties missen een beheerde AI-datalaag.

Slechts 43% van de organisaties gebruikt momenteel een gecentraliseerde AI Data Gateway. 57% werkt met gefragmenteerde, gedeeltelijke of geen controles. 90% van de overheidsorganisaties en 77% van de zorgorganisaties missen volledige centralisatie. De snelheid van AI-inzet overtreft de volwassenheid van AI-governance — en ChromaToast laat zien hoe dat gat eruitziet in een productieomgeving.

5. Het architecturale antwoord is het beheren van data, niet het patchen van infrastructuur.

Wanneer RAG-pijplijnen bedrijfsdata bereiken via een beheerde gateway met zero-trust toegang, ABAC-handhaving, FIPS 140-3 encryptie en manipulatiebestendige audittrail, kan een pre-auth RCE in een enkel component niet leiden tot dataverlies. De kwetsbaarheid wordt een beheersingsprobleem in plaats van een exfiltratieprobleem.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Waarom Pre-Auth RCE in een Vector Database een Ander Probleem Is

Pre-authenticatie RCE-kwetsbaarheden komen voor. Wat deze architectonisch anders maakt, is waar ChromaDB zich bevindt in de AI-stack. Een vector database in een RAG-pijplijn bevindt zich naast het meest gevoelige materiaal in het systeem: embeddings van bedrijfsdocumenten, opgehaalde stukken die modelantwoorden onderbouwen, prompts die mogelijk gereguleerde data bevatten en applicatiegeheimen die nodig zijn om upstream databronnen te bereiken. Wanneer de vector database wordt gecompromitteerd, is de impact de volledige RAG-pijplijn — embeddings onthullen documentinhoud, opgeslagen prompts kunnen PII, PHI of CUI bevatten, en API-sleutels geven toegang tot alles waar die sleutels bij kunnen.

Het diepere falen is architectonisch. De vertrouwensaanname in de Python-server van ChromaDB — dat het acceptabel is om modelcode van een extern register op te halen en uit te voeren voordat wordt gecontroleerd wie er vraagt — is dezelfde vertrouwensaanname die in de meeste RAG-deployments vandaag de dag geldt. De retrieval-laag wordt behandeld als infrastructuur in plaats van als beheerde toegang tot bedrijfsdata. Wanneer deze infrastructuur een pre-auth RCE bevat, kan governance die alleen in de applicatielaag erboven is gebouwd, dit niet compenseren. AI-infrastructuur is datainfrastructuur, en dezelfde controles die bepalen wie een gevoelige map mag lezen, moeten ook bepalen wie — of wat — een embedding store mag bevragen, een modelartefact mag koppelen of een tool via een agent runtime mag aanroepen.

Exploitatie van kwetsbaarheden is nu de datalekvector om je zorgen over te maken

Het Verizon DBIR-rapport 2026 meldt dat exploitatie van kwetsbaarheden voor het eerst in 19 jaar belangrijker is dan diefstal van inloggegevens. Niet-gepatchte kwetsbaarheden waren verantwoordelijk voor 31% van de datalekken; misbruik van inloggegevens daalde naar 13%. Organisaties patchten slechts 26% van CISA’s Known Exploited Vulnerabilities-catalogus in 2025, tegenover 38% in 2024. De mediane tijd tot volledige patching steeg naar 43 dagen, van 32. Het hersteltempo van de verdediger vertraagt precies op het moment dat het exploitatie-tempo van de aanvaller versnelt.

De IBM X-Force 2026 Threat Intelligence Index voegt de dimensie van publiek toegankelijke applicaties toe: exploitatie van publiek toegankelijke applicaties steeg met 44% jaar-op-jaar, exploitatie van kwetsbaarheden was verantwoordelijk voor 40% van de waargenomen incidenten, en 56% van de gemelde kwetsbaarheden vereiste geen authenticatie om te misbruiken. Vector databases zijn publiek toegankelijke applicaties wanneer ze zelf gehost worden met een via het netwerk bereikbare poort — precies het inzetpatroon waarop HiddenLayer’s 73% blootstellingscijfer is gebaseerd.

AI-aanvallers zijn sneller dan patches

Een tweede trend die parallel loopt aan de verschuiving naar exploitatie van kwetsbaarheden, maakt het ChromaToast-patroon erger. Het UK AI Security Institute meldt dat de moeilijkheidsgraad van cybertaken die frontier AI-modellen kunnen uitvoeren elke acht maanden verdubbelde eind 2025 en elke 4,7 maanden in februari 2026. Stanford’s 2026 AI Index meldt dat de ongecoachte oplossingspercentages op de Cybench-cybersecuritybenchmark stegen van 15% in 2024 naar 93% in 2025.

De GTG-1002-onthulling van Anthropic uit november 2025 maakt het abstracte concreet: een door de Chinese staat gesteunde groep gebruikte Claude Code plus MCP-tools om 80–90% van het tactische werk van een cyber-espionagecampagne tegen circa 30 entiteiten te orkestreren — verkenning, kwetsbaarheidsdetectie, exploitatie, zijwaartse beweging, het verzamelen van inloggegevens — alles AI-uitgevoerd. Zet dit af tegen de disclosure-tijdlijn van ChromaDB: HiddenLayer nam op 17 februari 2026 voor het eerst contact op met Chroma, volgde drie keer op tot april en kreeg geen reactie. De kwetsbaarheid is openbaar, de proof-of-concept-logica is gedocumenteerd, er bestaat geen patch. De klok van de verdediger staat stil. De klok van de aanvaller wordt nu gemeten in compute-cycli.

Waar de meeste organisaties staan op het gebied van AI Data Governance

Slechts 43% van de organisaties gebruikt een gecentraliseerde AI Data Gateway. 27% vertrouwt op gedistribueerde controles met beleid. 19% heeft gedeeltelijke of ad-hoccontroles. 7% heeft helemaal geen toegewijde AI-controles. De overheid zit op 90% zonder centralisatie; zorg op 77%; financiële sector op 60%. Deze cijfers beschrijven de populatie die blootstaat aan het ChromaToast-patroon. Een organisatie met een gecentraliseerde gateway heeft één architecturaal punt om authenticatie, autorisatie, encryptie en audit af te dwingen voor elke AI-data-interactie. Een organisatie met gedeeltelijke of geen controles heeft een wildgroei aan individuele vector databases, embedding stores en agent runtimes — elk met een eigen pre-auth oppervlak dat ontdekt kan worden.

Het architecturale antwoord: beheer de datalaag, niet het component

Het architecturale alternatief is AI-data-toegang behandelen zoals bedrijfsbeveiliging al een decennium lang doet: zero-trust op de datalaag, waarbij elk verzoek wordt geauthenticeerd, geautoriseerd volgens beleid en geaudit, ongeacht welk component het verzoek heeft gedaan.

De Kiteworks Secure MCP Server en AI Data Gateway implementeren dit patroon. RAG-pijplijnen bevragen bedrijfsdata via een beheerde brug. AI-assistenten bereiken bestanden via het Model Context Protocol met OAuth 2.0-authenticatie — tokens in de OS-sleutelhanger, nooit bij het model. ABAC-beleidsregels evalueren elke operatie in realtime. Rate limiting voorkomt bulkextractie, zelfs als een upstream component is gecompromitteerd. FIPS 140-3 gevalideerde encryptie, TLS-validatie en een hardened virtual appliance vormen de basis van het hele pad. Elke interactie wordt realtime gelogd naar SIEM via een manipulatiebestendige audittrail.

De architecturale test is eenvoudig: als de vector database morgen wordt gecompromitteerd, wat is dan de impact? In een beheerde-gatewayarchitectuur wordt het antwoord begrensd door ABAC-beleid, niet door de inloggegevens die het gecompromitteerde component toevallig had. Het Kiteworks Private Data Network breidt dit uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren, API’s en AI-integraties onder één beleidsengine en één geconsolideerde auditlog.

Wat securityleiders dit kwartaal zouden moeten doen

Ten eerste inventariseer elke vector database, embedding store en agent runtime die bedrijfsdata aanraakt. Breng het authenticatiemodel, de netwerkblootstelling en de bereikbare inloggegevens van elk component in kaart. De meeste securityteams hebben een onvolledig beeld omdat AI-infrastructuur is opgezet door data science-teams zonder een CMDB-registratie.

Ten tweede behandel AI-infrastructuur als productie-infrastructuur voor kwetsbaarhedenbeheer. Pas dezelfde patch-SLA’s, blootstellingsbeheerdiscipline en KEV-gedreven prioritering toe. De bevinding van de DBIR 2026 dat organisaties slechts 26% van de KEV-gemarkeerde kwetsbaarheden patchten, geldt voor AI-componenten net zo goed als voor traditionele infrastructuur.

Ten derde leid RAG- en agent-data-toegang via een beheerde AI Data Gateway. Slechts 43% van de organisaties heeft dit gedaan. De overige 57% wordt geconfronteerd met het ChromaToast-patroon, vermenigvuldigd over elke AI-werklast die ze draaien. Centralisatie op de datalaag verandert tientallen component-level aanvalsvlakken in één beheerd controlevlak.

Ten vierde vereis zero-trust data-toegang voor AI-agents, net zoals je dat voor menselijke gebruikers zou doen. Elke AI-data-aanvraag geauthenticeerd, geautoriseerd volgens beleid, gelimiteerd, versleuteld en gelogd met volledige attributie. Stanford’s 2026 AI Index meldt dat beveiligings- en risicovragen de grootste belemmering zijn voor het opschalen van agentic AI, genoemd door 62% van de organisaties — zero-trust data-toegang is de beïnvloedbare factor.

Ten vijfde instrumenteer de AI-datalaag voor SIEM-inzicht. Een pre-auth RCE levert per definitie geen auth-logboekvermeldingen op. Inzicht moet van upstream komen — van de gateway die elke data-interactie bemiddelt. Realtime SIEM-feeds van AI-data-toegang vormen de forensische basis wanneer de volgende ChromaToast-achtige kwetsbaarheid aan het licht komt.

Wil je meer weten over het beschermen van je gevoelige data tegen AI-gerelateerde bedreigingen? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Beperk netwerktoegang tot alleen vertrouwde clients en beschouw elke blootgestelde instantie als mogelijk al gecompromitteerd in afwachting van onderzoek. Vervang alle geheimen die het serverproces kon lezen — API-sleutels, gekoppelde inloggegevens, omgevingsvariabelen. Zet RAG-data-toegang achter een beheerde AI Data Gateway als langetermijnoplossing; netwerkbeperking is slechts een noodmaatregel, geen architectuur.

Aanzienlijk kwetsbaar als een RAG-component via internet bereikbaar is en niet wordt beheerd. 77% van de zorgorganisaties heeft geen gecentraliseerde AI Data Gateway en 14% heeft helemaal geen AI-controles volgens de Kiteworks 2026 Forecast. De HIPAA Security Rule vereist toegangscontroles en audittrails die niet-gecontroleerde RAG-componenten niet kunnen leveren. Een pre-auth RCE op een component met PHI-embeddings is een meldingsplichtig incident.

Pre-auth RCE in een AI-component die CUI verwerkt is een rapportage-incident voor CMMC en DFARS. 90% van de overheidsorganisaties heeft geen gecentraliseerde AI Data Gateway volgens de Kiteworks 2026 Forecast. CMMC AC-, AU- en IA-controlefamilies vereisen afdwingbare autorisatie en auditlogging voor elke data-toegang, ook door AI-componenten. Governance op de datalaag met ABAC en manipulatiebestendige logs voldoet aan alle drie de families tegelijk.

Patching verhelpt één kwetsbaarheid in één component. AI-data-toegang beheren bepaalt wie of wat überhaupt toegang tot bedrijfsdata krijgt, ongeacht welk downstream component is gecompromitteerd. Gecentraliseerde gateways worden de architecturale standaard juist omdat patching het tempo van kwetsbaarheidsontdekking in AI-infrastructuur niet kan bijhouden — de ChromaToast-disclosure-tijdlijn (maanden zonder reactie, geen patch) laat zien waarom.

Ja — het is juist de personeelsefficiënte keuze. Eén beheerd controlevlak vervangt tientallen component-level controles. De Kiteworks Secure MCP Server en AI Data Gateway bieden dat ene architecturale handhavingspunt — kleine securityteams halen meer uit één architecturale controle dan uit het patchen van elke vector database, embedding store en agent runtime afzonderlijk.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van kleine bedrijven Russische roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor je data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks