PraisonAI 高風險漏洞 CVE-2026-44338 公布後數小時遭駭客掃描

漏洞概要

項目詳情
CVE編號CVE-2026-44338
CVSS評分7.3(高風險)
漏洞類型身分驗證繞過(Authentication Bypass)
受影響版本2.5.6 至 4.6.33
修補版本4.6.34

漏洞細節

PraisonAI Flask API Server 元件預設停用身分驗證,導致以下端點任何人皆可無需驗證存取:

  • /agents:回傳已部署的 AI 代理資訊
  • /chat:觸發預先設定的 AI 代理工作流程

此漏洞本身不直接構成 RCE,但實際危害取決於 AI 代理被賦予的權限範圍。

攻擊時間軸

  • T+0:PraisonAI 發布漏洞修補公告
  • T+3小時44分:Sysdig 偵測到掃描工具 CVE-Detector/1.0 開始針對暴露於網路的主機掃描 /agents 端點,目的為標記主機以利後續攻擊

趨勢意涵

此事件凸顯了修補窗口極短的現實:從漏洞公告到掃描活動不到 4 小時。駭客快速利用漏洞已成常態,企業需:

  1. 立即升級 PraisonAI 至 4.6.34 或以上版本
  2. 控管 PraisonAI 主機的網路暴露面
  3. 嚴格審查 AI 代理被賦予的權限範圍

參見:AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026

來源文章

相關頁面

  • sysdig — 偵測掃描活動的資安公司