CVE-2026-27478 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Unity Catalog 存在**身份验证绕过**漏洞。 🔥 **后果**：攻击者可绕过**签名验证**，直接获取未授权访问权限，导致数据泄露或系统被控。

🛡️ **CWE**：CWE-290 (身份验证绕过)。 🔍 **缺陷点**：在验证请求合法性时，**签名验证机制**存在逻辑缺陷，未能正确校验请求来源或完整性。

📦 **组件**：Unity Catalog (开源多模态数据与AI资产统一治理目录)。 ⚠️ **版本**：**0.4.0 及之前版本**均受影响。

💀 **权限**：可绕过安全防线，获得**高权限**访问。 📂 **数据**：可能导致**机密性(C:H)**和**完整性(I:H)**严重受损，敏感AI资产与数据面临泄露风险。

🚪 **门槛**：**极低**。 📊 **CVSS**：攻击向量网络(AV:N)、攻击复杂度低(AC:L)、无需权限(PR:N)、无需交互(UI:N)。黑客可直接远程利用。

🧪 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开现成代码。 🌍 **在野**：未提及在野利用，但鉴于CVSS评分高，需警惕自动化扫描攻击。

🔍 **自查**：检查系统是否运行 **Unity Catalog**。 📋 **版本**：确认版本号是否 **≤ 0.4.0**。 🛡️ **日志**：监控异常的身份验证请求或签名验证失败的日志。

🔧 **补丁**：官方已发布安全公告 (GHSA-qqcj-rghw-829x)。 ✅ **行动**：请查阅官方链接，升级至**修复后的最新版本**以解决此问题。

🚧 **临时规避**：若无法立即升级，建议**限制网络访问**，仅允许可信IP连接。 🔒 **强化**：检查并加固API网关层的签名验证逻辑，或暂时关闭非必要的公开访问接口。

🚨 **优先级**：**紧急**。 📈 **理由**：CVSS 3.1 评分高，**无需认证**且**远程可利用**，对AI资产安全威胁极大。建议**立即**评估并安排升级。