黑客利用PraisonAI认证绕过漏洞在披露后几小时内

执行摘要

根据应用保护公司Sysdig的说法，攻击者在公开咨询发布后几小时内就开始探测互联网暴露的PraisonAI实例，寻找最近披露的认证绕过漏洞。这个漏洞被追踪为CVE-2026-44338，影响PraisonAI版本2.5.6至4.6.33，源自默认禁用认证的遗留Flask API服务器。Sysdig观察到一个自称为CVE-Detector/1.0的扫描器在咨询公开后3小时44分钟就攻击了易受攻击的/agents端点，这再次表明披露与积极利用之间的时间窗口正在缩小。

技术分析

PraisonAI是一个多代理框架，使组织能够部署自主AI代理以执行复杂任务。由于框架的遗留Flask API服务器（包含在版本2.5.6至4.6.33中）默认禁用了认证，因此存在漏洞。NIST咨询解释说，任何能够到达服务器的呼叫者都可以访问/agents端点以检索配置的代理元数据，并通过/chat端点触发agents.yaml工作流，而无需提供令牌。/chat端点接受任何带有message键的JSON正文并执行工作流，完全忽略消息值。

Sysdig的遥测捕获了咨询发布后3小时44分钟的第一次利用尝试。这个自称为CVE-Detector/1.0的扫描器在八分钟内运行了两次。每次推送大约70个请求，大约需要50秒。第一次扫描了通用披露路径，如/.env、/admin、/users/sign_in、/eval、/calculate和/Gemfile.lock。第二次扫描缩小到AI代理表面，特别针对/agents。

值得注意的是，扫描器没有向/chat端点发送请求，这表明活动是侦察和验证，而不是交互式利用。Sysdig评估模式为：“枚举代理列表，确认认证绕过有效，记录主机为可利用，并继续前进。后续工具通常是分开的。”

Sysdig指出，通过这个漏洞实现远程代码执行（RCE）并不直接。未经认证的攻击者只能触发agents.yaml配置的工作流。在生产环境中，这些工作流通常调用LLM提供商（Anthropic、Bedrock、OpenAI），授予访问包括代码解释器、shell和文件I/O在内的工具的权限，或返回代理文件名和列表。正如Sysdig所说：“绕过本身不是任意代码执行。但由于它从操作员故意暴露以执行某些有用操作的工作流触发器中移除了认证，因此影响上限是该工作流被允许执行的操作。”

缓解措施与建议

组织应更新PraisonAI部署到版本4.6.34，以解决漏洞。鉴于观察到的快速扫描活动，防御者还应立即审计任何互联网暴露的PraisonAI实例——特别是检查是否启用了遗留Flask API服务器，以及是否能够在没有认证的情况下访问/agents或/chat端点。应应用网络级访问控制（防火墙规则、VPN要求）以将对这些端点的访问限制在受信任的IP范围内。Sysdig的发现强调，在高严重性咨询发布后，补丁的时间窗口已经缩短到几小时，而不是几天。