【安全圈】CVE-2026-1868：GitLab AI Gateway 严重漏洞（CVSS 9.9），可致远程代码执行

关键词

安全漏洞

GitLab 发布紧急安全公告，披露其Duo Self-Hosted AI Gateway存在一个严重漏洞——CVE-2026-1868。该漏洞 CVSS 评分高达9.9（Critical），在特定条件下可导致拒绝服务（DoS）甚至网关层面的代码执行。

如果你的组织部署了自托管 GitLab Duo AI Gateway，且版本落在受影响范围内，这不是“建议更新”，而是必须立即修补的高危风险。

漏洞核心：不安全的模板扩展

问题出在 GitLab AI Gateway 的Duo Workflow Service组件。

官方描述为：

不安全模板扩展（Insecure Template Expansion）问题

本质是系统在处理用户提供的Duo Agent Platform Flow 定义时，没有对模板变量进行充分清理和中和，导致攻击者可通过精心构造的流程定义触发异常行为。

对应的 CWE 编号为：

CWE-1336 – 模板引擎中特殊元素未正确中和

这类漏洞在模板渲染引擎中并不罕见，但出现在 AI 工作流组件中，风险更为隐蔽——因为这类功能通常具备较高系统权限。

攻击条件与风险等级

虽然漏洞利用需要：

• 拥有GitLab 实例的认证访问权限（PR:L）

• 无需用户交互（UI:N）

• 可通过网络远程触发（AV:N）

但由于漏洞影响范围跨越安全边界（S:C），且影响机密性、完整性、可用性均为高（C:H/I:H/A:H），最终被评为9.9 分临界级漏洞。

一旦利用成功，攻击者可能：

• 触发拒绝服务，导致 AI Gateway 离线

• 在网关服务器上执行任意代码

• 借助网关作为跳板进行横向移动

需要特别注意的是：
攻击者不一定是“外部黑客”，也可能是：

• 被盗用的开发者账号

• 恶意内部人员

• 被入侵的低权限用户

这使得漏洞风险在企业内部环境中更具现实威胁。

受影响版本范围

以下版本存在漏洞：

GitLab AI Gateway：

• 18.1.6

• 18.2.6

• 18.3.1

• 以及上述版本至以下修复版本之前的所有版本

• • 18.6.1

  • 18.7.0

  • 18.8.0

已修复版本为：

• 18.6.2

• 18.7.1

• 18.8.1

GitLab 已明确建议所有自托管 Duo AI Gateway 用户立即升级。

谁需要行动？

• 使用GitLab Duo Self-Hosted AI Gateway的组织 —— 必须升级

• 使用 GitLab.com、GitLab Dedicated 或 GitLab 托管 AI Gateway 的用户 —— 已修复，无需操作

区别在于：漏洞影响的是“自托管 AI Gateway 实例”，托管环境已由官方修补。

为什么这个漏洞值得警惕？

AI Gateway 是连接 AI 服务与开发工作流的关键节点，它通常：

• 可访问代码仓库

• 可调用模型接口

• 运行于具备网络访问能力的服务器

• 与 CI/CD 环境集成

一旦该组件被攻破，攻击者可能：

• 植入后门

• 篡改生成代码

• 窃取私有仓库数据

• 扩展攻击至 CI/CD 或内部网络

这已经不只是“插件级别漏洞”，而是供应链入口级风险。

安全趋势：AI 组件正在成为新攻击面

CVE-2026-1868 再次验证一个趋势：

AI 功能组件正在快速成为新的攻击面。

随着开发工具引入：

• Agent 流程定义

• 动态模板渲染

• 可执行工作流

系统复杂度上升，攻击面同步扩大。

尤其是在自托管环境中，许多组织会默认信任内部用户，而忽略“已认证低权限用户”同样可能触发严重漏洞。

建议立即执行的动作

1. 立即确认 AI Gateway 版本

2. 若在受影响范围内，优先升级至：

• 18.6.2

• 18.7.1

• 18.8.1

审计近期 Duo Agent Flow 定义修改记录

检查 AI Gateway 服务器日志是否存在异常执行行为

审查访问控制策略，避免低权限账号拥有不必要访问能力

结语

CVE-2026-1868 不是传统意义上的 Web 漏洞，也不是简单的组件缺陷。它发生在“AI 驱动开发工具”之中，攻击路径更隐蔽，风险更贴近核心业务。

当 AI 逐渐嵌入 DevOps 流程，AI 本身也必须被纳入安全边界管理。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！