Un solo clic en vez de miles de líneas: un enlace bastó para que hackers comprometieran Dify, la plataforma de IA con 10 millones de usuarios.
Sin códigos ni phishing: basta con un enlace y paciencia.
Los especialistas de Imperva encontraron dos vulnerabilidades críticas en Dify, una de las cuales permitía tomar el control de una cuenta con un solo clic en un enlace. Dify lo usan empresas que necesitan herramientas propias basadas en inteligencia artificial sin un gran equipo de desarrolladores. El proyecto obtuvo más de 142 000 estrellas en GitHub, y su contenedor Docker se descargó más de 10 millones de veces.
Dify ayuda a crear y ejecutar flujos de trabajo con inteligencia artificial, conectar servicios externos y almacenar configuraciones importantes. Si atacantes comprometieran una plataforma así, podrían obtener acceso a claves de las API de modelos, credenciales de los servicios conectados, flujos de trabajo internos y datos privados de los usuarios.
La primera vulnerabilidad afectaba la forma en que Dify subía archivos. La plataforma los almacenaba sin protección, sin verificar permisos, y asignaba direcciones predecibles. Aún más peligroso fue el modo en que se configuraron los dominios: el subdominio para archivos subidos upload.dify.ai estaba vinculado al dominio principal cloud.dify.ai, donde los usuarios iniciaban sesión y gestionaban los flujos de trabajo.
Al atacante le bastaba crear una cuenta temporal, subir un archivo malicioso, cambiar en el enlace el subdominio de upload a cloud y enviar el enlace a la víctima. Si un administrador abría el archivo, el navegador ejecutaba código con los privilegios del dominio de confianza.
Para verificarlo, los especialistas de Imperva subieron una imagen en formato SVG. Ese tipo de archivo se basa en XML y puede contener código JavaScript. Al falsificar el subdominio, el atacante ejecutaba código malicioso en el contexto de Dify y obtenía acceso a la sesión del usuario, incluidos cookies, el almacenamiento local y las llamadas a las API internas.
Imperva informó del problema el 14 de enero de 2026. Según la compañía, los desarrolladores de Dify no respondieron a las notificaciones, pero el 17 de marzo lanzaron silenciosamente una corrección. En la nueva versión el servidor comenzó a servir los archivos subidos como application/octet-stream, por lo que el navegador descarga el archivo en lugar de abrirlo.
La segunda vulnerabilidad afectaba el aislamiento de usuarios en entornos compartidos. Dify debía separar el código de distintos usuarios entre sí, pero Python se ejecutaba en un directorio común del sistema de archivos bajo la misma cuenta de sistema. Por ello, un atacante podía obtener scripts de otros usuarios desde la carpeta compartida /tmp.
Dify cifraba esos archivos, pero la protección resultó ser débil. Según Imperva, el esquema recordaba a un cifrado Vigenère con una clave repetida de 64 bytes, por lo que los especialistas pudieron restaurar el código fuente a partir del archivo robado.
Más tarde Dify cambió el mecanismo de ejecución de código y empezó a asignar a cada ejecución una cuenta del sistema única. Ese enfoque impide que los usuarios lean archivos ajenos. No obstante, según Imperva, los desarrolladores no corrigieron el cifrado débil.
Imperva considera que los errores encontrados son síntoma de un problema más amplio. Las plataformas para inteligencia artificial añaden rápidamente funciones de trabajo colaborativo, permiten compartir archivos, conectar servicios externos y usar entornos de ejecución compartidos, pero la protección de estas funciones a menudo no sigue el ritmo del desarrollo del producto. Se recomienda a los administradores de Dify que verifiquen las versiones de sus instalaciones y se aseguren de que las últimas correcciones ya están aplicadas.