普通账号看见军方训练数据：Schemata 漏洞暴露的不是黑客多强

一个普通低权限账号，能看到其他组织里的军人姓名、邮箱、驻扎基地、训练课程，以及指向 AWS S3 的文档链接。

这不是高级入侵，也不是绕过复杂加密。据 Strix 披露，它只是用低权限账号跑第一轮扫描，重放正常应用里能看到的 API 请求，就发现 Schemata 的多租户边界没有立住。

反常点在这里：Schemata 不是普通 SaaS。它做的是面向军方和防务客户的 AI/3D 虚拟训练平台，拿过 a16z 投资，并持有活跃美国国防部合同。

这次漏洞暴露了什么

这里必须把边界说清。

目前材料没有证明已有恶意攻击，也不能写成数据已经被下载或外泄。更准确的说法是：这些数据曾可被普通账号访问，形成严重暴露风险。

但这已经够糟。

暴露对象不是普通营销名单，而是军方训练场景。姓名、邮箱、基地、课程关联，未必都等同于机密国防秘密，却足以带来 CUI、OPSEC 和定向钓鱼风险。标注 confidential、proprietary 的训练材料，也不是能随便挂在错误授权后面的东西。

对政府承包商来说，DFARS、CMMC、CUI 不是合规 PPT 上的缩写。它们最后都要落到权限边界、日志审计、漏洞响应、客户通报这些笨活里。

授权不是高级安全能力，是地基

我更在意的不是 Strix 用了什么自动化工具，也不是这件事能不能写进“AI hacking agent”的故事里。

关键恰恰是：这次发现不高深。

多租户系统最基本的动作，是确认“这个用户只能看自己组织的数据”。这是 SaaS 的地基，不是安全团队长大以后再补的高级模块。

地基缺失，比模型能力弱更危险。

模型弱，演示不好看，训练体验不够聪明。授权弱，客户数据会从业务系统的缝里流出去。放到防务软件里，代价更重，因为这里的数据常常不是单点敏感，而是可以被拼接。

基地、课程、人员、材料链接，单看一项可能不致命。放在一起，就能还原组织关系和训练重点。安全里最怕的从来不只是“单个字段泄露”，而是碎片被人拼成地图。

普通企业 SaaS 出这种问题，采购方可能暂停上线、要求补审计报告、压供应商整改。防务客户会更硬：采购评估要延后，安全团队要查日志，法务和合规要判断是否触发通报义务，项目负责人还要回答一个更难听的问题——为什么低权限账号能越过组织边界。

这就是 AI 国防创业和普通软件创业的差别。普通 SaaS 可以先用增长掩盖粗糙，防务软件不行。它卖的不是一个炫功能，而是一条可信边界。

早期铁路公司疯狂铺轨，却一度低估信号、调度和制动系统。类比不完全一样，但结构很像：速度先起来，治理慢半拍，事故就会替技术扩张结账。天下熙熙，皆为利来。融资、合同、叙事会推着公司往前冲，安全债不会因为故事好听而消失。

真正要追问的是修复之外的账

Schemata 最后修了，这是好事。Strix 也表示，发布前已经验证修复。

问题在于，约 150 天的披露周期很难轻轻放过。安全研究员多次私下联系，公司到 2026-05-01 才确认并表示修复。对客户来说，这不是日历上的延迟，而是风险窗口。

这类事件的后续，不该停在“漏洞已修复”。真正有用的问题更具体：

• 哪些租户、用户、课程和文档链接曾经可被访问？
• 暴露窗口从什么时候开始，到什么时候结束？
• 日志是否足以判断访问范围？
• 是否需要通知受影响客户或用户？
• 类似 API 端点是否做了全量复查？
• 更新、删除路径的授权检查是否重新设计，而不是只补一个判断？

采购方的动作也会很现实。

已经在评估的团队，会要求 Schemata 提供修复说明、影响范围、日志审查结论和第三方验证。已经接入的客户，至少应该做一次内部风险盘点：哪些人员信息、训练材料、课程关联出现在平台里，是否需要调整权限、轮换链接、重新分级材料。

开发和安全团队能拿走的教训更直接：多租户授权测试不能靠“前端不显示”。每个 API 都要按租户、角色、对象所有权做服务端校验。读权限要查，写权限和删除权限更要查。S3 直链也不能成为绕过应用权限的侧门。

我不太买账的是那种“创业公司先跑起来，安全以后补”的说法。放在消费应用里，这已经危险；放在国防承包商身上，就是把客户信任当缓冲垫。

AI 国防创业现在很热。投资人喜欢这个叙事，政府客户也确实需要更快、更便宜、更现代的软件。但分水岭会很冷：最小权限、审计日志、漏洞响应、客户通报、CUI 处理，谁能长期做稳，谁才真的配进入敏感场景。

合同只是入场券。门后面考的是执行力。