PraisonAI 高風險漏洞 CVE-2026-44338 公布後數小時遭駭客掃描
漏洞概要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2026-44338 |
| CVSS評分 | 7.3(高風險) |
| 漏洞類型 | 身分驗證繞過(Authentication Bypass) |
| 受影響版本 | 2.5.6 至 4.6.33 |
| 修補版本 | 4.6.34 |
漏洞細節
PraisonAI Flask API Server 元件預設停用身分驗證,導致以下端點任何人皆可無需驗證存取:
/agents:回傳已部署的 AI 代理資訊/chat:觸發預先設定的 AI 代理工作流程
此漏洞本身不直接構成 RCE,但實際危害取決於 AI 代理被賦予的權限範圍。
攻擊時間軸
- T+0:PraisonAI 發布漏洞修補公告
- T+3小時44分:Sysdig 偵測到掃描工具
CVE-Detector/1.0開始針對暴露於網路的主機掃描/agents端點,目的為標記主機以利後續攻擊
趨勢意涵
此事件凸顯了修補窗口極短的現實:從漏洞公告到掃描活動不到 4 小時。駭客快速利用漏洞已成常態,企業需:
- 立即升級 PraisonAI 至 4.6.34 或以上版本
- 控管 PraisonAI 主機的網路暴露面
- 嚴格審查 AI 代理被賦予的權限範圍
參見:AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例、AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026
來源文章
相關頁面
- sysdig — 偵測掃描活動的資安公司