漏洞概述 漏洞编号: CVE-2026-15044 漏洞标题: TrustyAI Service Operator: Unauthenticated access to AI guardrails and orchestrator APIs 状态: NEW 优先级: medium 严重程度: medium 硬件: All 操作系统: Linux 版本: unspecified 目标里程碑: --- 分配给: Product Security QA联系人: --- 文档联系人: --- URL: --- 白板: --- 依赖项: depends on / blocked 树视图: depends on / blocked 影响范围 报告时间: 2026-07-08 12:13 UTC by OSDB Bzimport 修改时间: 2026-07-08 14:29 UTC CC列表: 0 users 修复版本: --- 关闭时间: --- 环境: --- 最后关闭: --- Embargoed: --- 修复方案 描述: - controllers/utils/auth.go:22-25 实现了 函数,返回 。 - 注解键 没有 CRD 默认值或 mutating webhook。 - 开箱即用的部署在没有 的情况下为 gorch 和 NemoGuardrails 提供纯 HTTP 服务。 攻击向量: 1. 部署 gorch 或 NemoGuardrails 时未设置 注解。 2. 服务暴露了纯 HTTP 端点到集群网络。 3. 任何 Pod 都可以访问 AI guardrails/orchestrator API 而无需认证。 代码块: 其他信息 附件: (Terms of Use) 备注: 需要登录才能在此 bug 上评论或进行更改。