開源AI代理框架PraisonAI公布高風險漏洞數小時後,即遭遇駭客鎖定掃描
來源:iThome(ID: 628)
URL:https://www.ithome.com.tw/news/176178
發布日期:2026-05-28
原文摘要
PraisonAI 是一套開源 AI 代理框架,2026年5月28日公布高風險身分驗證繞過漏洞 CVE-2026-44338(CVSS 7.3),影響版本 2.5.6 至 4.6.33,修補版本為 4.6.34。
漏洞根本原因:Flask API Server 元件預設停用身分驗證,導致 /agents(回傳已部署代理資訊)與 /chat(觸發代理工作流程)端點任何人皆可無需驗證存取。
Sysdig 偵測到,漏洞公告發布後僅 3 小時 44 分,掃描工具 CVE-Detector/1.0 已開始針對暴露於網路的主機進行掃描,目的為標記主機以利後續攻擊。此漏洞本身不直接構成 RCE,但實際影響取決於 AI 代理被賦予的權限範圍。
此事件凸顯駭客快速利用漏洞已成常態,修補窗口極短(不到4小時),企業需加快修補速度並嚴格控管 AI 代理存取控制。
衍生頁面
- PraisonAI高風險漏洞CVE-2026-44338公布後數小時遭駭客掃描 — 事件概念頁
- sysdig — 偵測掃描活動的資安公司