開源AI代理框架PraisonAI公布高風險漏洞數小時後,即遭遇駭客鎖定掃描

來源:iThome(ID: 628)
URL:https://www.ithome.com.tw/news/176178
發布日期:2026-05-28

原文摘要

PraisonAI 是一套開源 AI 代理框架,2026年5月28日公布高風險身分驗證繞過漏洞 CVE-2026-44338(CVSS 7.3),影響版本 2.5.6 至 4.6.33,修補版本為 4.6.34。

漏洞根本原因:Flask API Server 元件預設停用身分驗證,導致 /agents(回傳已部署代理資訊)與 /chat(觸發代理工作流程)端點任何人皆可無需驗證存取。

Sysdig 偵測到,漏洞公告發布後僅 3 小時 44 分,掃描工具 CVE-Detector/1.0 已開始針對暴露於網路的主機進行掃描,目的為標記主機以利後續攻擊。此漏洞本身不直接構成 RCE,但實際影響取決於 AI 代理被賦予的權限範圍。

此事件凸顯駭客快速利用漏洞已成常態,修補窗口極短(不到4小時),企業需加快修補速度並嚴格控管 AI 代理存取控制。

衍生頁面