## Microsoft Semantic Kernel Memory Plugin 1.45.0-alpha 曝高危漏洞 (CVSS 9.9)，可被利用
微软AI开发框架Semantic Kernel的一个核心组件被发现存在严重安全漏洞。在GitHub仓库Yuliya65/Autogen的代码依赖中，检测到microsoft.semantickernel.plugins.memory.1.45.0-alpha.nupkg包存在一个最高严重性评分为9.9的漏洞，且该漏洞被标记为“可被利用”。这一发现直接指向了微软官方发布的AI工具链，暴露了其供应链中的潜在风险。

具体而言，该漏洞存在于路径为`/dotnet/samples/dev-team/seed-memory/seed-memory.csproj`的项目文件中，其根源是依赖的`microsoft.semantickernel.core/1.45.0`包。漏洞扫描报告明确指出，该问题在特定提交（c2e681ff1d74e91f4f10fbdf7de230fb35192d53）中被发现。CVSS 9.9的评分意味着这是一个近乎满分的严重缺陷，通常涉及远程代码执行等关键风险，而“可被利用”的状态进一步加剧了其紧迫性。

此事件将微软的Semantic Kernel框架及其插件生态系统置于安全审查之下。作为构建AI代理和集成大型语言模型的关键开发工具，其核心内存管理组件出现如此高危的漏洞，可能影响所有基于此版本进行开发的应用程序和项目。这为依赖微软AI工具链的企业和开发者敲响了警钟，迫使其立即审查项目依赖并寻求修复方案，以防潜在的供应链攻击。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: vulnerability, ai_security, microsoft, supply_chain, csharp
- **Credibility**: unverified
- **Published**: 2026-04-02 12:27:20
- **ID**: 47327
- **URL**: https://whisperx.ai/en/intel/47327