向量資料庫ChromaDB存在嚴重漏洞，未驗證請求可藉惡意模型觸發RCE

資安業者HiddenLayer揭露，開源向量資料庫ChromaDB的Python FastAPI伺服器存在重大漏洞CVE-2026-45829，攻擊者只要能連到ChromaDB HTTP API，即使未通過身分驗證，也可能透過惡意模型讓伺服器執行攻擊者指定的程式碼。

ChromaDB常用於AI應用，主要功能是把文字轉成可供電腦比對的向量資料，讓系統能找出語意相近的內容。資安人員指出，問題發生在ChromaDB Python伺服器建立資料集合的流程。伺服器會先處理使用者指定的文字轉向量模型設定，下載並載入模型後，才檢查請求者是否具有權限，使模型載入流程早於權限檢查。

攻擊者可送出建立資料集合的請求，指定由自己控制的Hugging Face模型，並將trust_remote_code設為true，讓伺服器允許載入模型倉庫隨附的Python程式碼。伺服器收到請求後，會先連到Hugging Face下載並載入該模型，之後才進行身分驗證。也就是說，這筆請求從外部看起來可能遭到拒絕，但惡意程式碼已經在伺服器上執行。

由於部分模型為了支援特殊架構，會附帶需要執行的程式碼，若伺服器未限制來源，且在驗證前就載入模型，攻擊者便可能把模型倉庫變成入侵入口。研究人員指出，成功利用後，攻擊者可能接觸伺服器程序可讀取的環境變數、應用程式金鑰、掛載的機密資訊以及磁碟上的資料。

HiddenLayer在5月18日公開文章時指出，該漏洞自ChromaDB 1.0.0引入，至1.5.8仍未修補。PyPI頁面顯示，chromadb 1.5.9於2026年5月5日發布，早於HiddenLayer公開研究，其版本說明未明確列出CVE-2026-45829修補內容，因此若使用1.5.9，應先檢查官方後續安全公告或採取研究人員建議的緩解措施。

GitHub相關回報提到，Chroma有Python與Rust兩種伺服器端實作，預設會使用Rust伺服器，而這項遠端程式碼執行問題主要影響Python後端。研究人員建議使用者優先改採Rust實作的部署方式，若仍使用Python FastAPI伺服器，則應限制ChromaDB連接埠，只允許可信任的用戶端存取。