一个开源AI框架的默认配置,正在把企业的自动化工作流变成"公共厕所"。

PraisonAI的维护者在本周披露了编号CVE-2026-44338的严重漏洞。问题是:这个漏洞在公开后几小时内就被盯上了。攻击者不需要密码、不需要令牌,连伪造凭证的功夫都省了——直接走进来就行。

打开网易新闻 查看精彩图片

漏洞藏在框架遗留的Flask API服务器里。具体文件是src/praisonai/api_server.py,代码里硬编码了两行致命设置:AUTH_ENABLED = False,AUTH_TOKEN = None。底层的check_auth()函数设计为"故障开放"(fail-open),认证关闭时自动放行所有请求。

更麻烦的是启动方式。直接用python运行这个脚本,它会绑定到0.0.0.0:8080——这意味着全网可达,而非仅限本地。框架的部署子系统也在推波助澜:自动生成的示例配置同样推荐开放主机绑定+禁用认证的组合。

攻击者能做什么?GitHub安全公告GHSA-6rmh-7xcm-cpxj列出了两条路径。GET请求访问/agents端点,可以无认证枚举系统配置的所有智能体元数据,瞬间摸清这套系统的业务范围。POST请求发到/chat端点,直接触发本地的agents.yaml工作流

虽然这个漏洞不支持直接的提示词注入,但攻击者可以反复执行预配置的自动化流程。后果有两重:一是窃取敏感输出数据,二是迫使受害者的基础设施反复调用外部AI模型,烧光API配额。

对企业来说,后者的账单冲击可能更直接。大模型API调用按token计费,自动化工作流一旦被外部劫持,成本会在几小时内失控。

PraisonAI团队已发布4.6.34版本修复。使用pip安装的用户需要立即更新环境。但这只是应急。

安全工程师被强烈建议彻底弃用遗留API服务器,转向新的serve agents命令。新部署路径默认绑定127.0.0.1,且强制要求--api-key参数,从架构上堵死了未授权访问的可能。

这个案例暴露了一个老问题:开源工具的"开箱即用"往往等于"开箱即危"。当默认配置把便利性放在安全性之前,最终买单的是生产环境里的运维团队。

值得注意的是,漏洞从公开到被利用的时间窗口正在急剧收窄。"几小时内"这个节奏,意味着安全补丁的响应速度已经跟不上攻击者的扫描速度。对于依赖自动化工作流的企业,审查第三方框架的默认配置,可能比追版本号更紧迫。