アプリケーション保護企業Sysdigの警告によると、PraisonAIの最近の認証バイパス脆弱性をターゲットとした悪用の試みは、公開から4時間以内に開始されました。
PraisonAIは、組織が複雑なタスクを実行するための自律型AIエージェントをデプロイできるマルチエージェントフレームワークです。
CVE-2026-44338として追跡されているこの新たに公開されたセキュリティ欠陥は、PraisonAIバージョン2.5.6から4.6.33がデフォルトで認証が無効にされていたレガシーFlask APIサーバーを搭載していたために存在しています。
「そのサーバーが使用されている場合、それに到達できるあらゆる呼び出し元が/agentsにアクセスし、トークンを提供せずに/chatを通じて設定済みのagents.yamlワークフローをトリガーできます」とNISTアドバイザリに記載されています。
認証が無効にされている場合、/agentsは設定されたエージェントメタデータを返し、一方/chatはメッセージキーを持つあらゆるJSONボディを受け入れ、メッセージ値を無視してagents.yamlワークフローを実行します。
「アドバイザリが公開されてから3時間44分以内に、CVE-Detector/1.0として自らを識別するスキャナーがインターネット公開インスタンス上の正確な脆弱なエンドポイントをプローブしていました」とSysdigは言っています。
サイバーセキュリティ企業は、観察された活動はスキャナーに関連しており、インタラクティブな悪用ではないと評価しています。
「2つのパスが8分間隔で実行され、それぞれがおよそ50秒で約70リクエストを送信しました。最初のパスは一般的な開示パス(/.env、/admin、/users/sign_in、/eval、/calculate、/Gemfile.lock)をスイープしました。2番目のパスはAIエージェントサーフェスに絞られました」とその企業は述べています。
その活動は/agentsのみをターゲットにしており、/chatへのリクエストは送信されず、その試みが偵察と検証に焦点を当てていたことを示唆しています。
「エージェントリストを列挙し、認証バイパスが機能することを確認し、ホストを悪用可能としてログし、先に進みます。フォローオンツーリングは通常は別です」とSysdigは指摘しています。
Sysdigが説明するように、この脆弱性を使用してリモートコード実行(RCE)を達成することは単純ではありません。未認証の攻撃者はagents.yamlが設定されているものだけをトリガーできるからです。
本番環境では、ワークフローは通常、様々なLLMプロバイダー(Anthropic、Bedrock、OpenAIなど)への呼び出しを行うか、様々なツール(コードインタプリタ、シェル、ファイルI/Oを含む)へのアクセスを許可するか、またはエージェントファイル名とエージェントリストを返します。
「バイパス自体は任意のコード実行ではありません。しかし、それが運用者が意図的に何か有用なことをするために公開したワークフロートリガーから認証を削除するため、影響度の上限はそのワークフローが行うことを許可されているものです」とSysdigは指摘しています。
この脆弱性はPraisonAIバージョン4.6.34で解決されました。組織はできるだけ早くデプロイメントを更新する必要があります。
「AI支援ツーリングにより、攻撃者は勧告発行から以前は存在しなかったタイムフレーム内で動作中のエクスプロイトへ移動できるようになりました。結果として、組織がパッチを適用および軽減する、またはアクティブなプローブを検出することさえできるタイムフレームは短縮されました。公開後の急速な悪用はもはやゼロデイ向けに予約されたエッジケースではありません。それはベースラインになりつつあります」とBlack Duck AI研究エンジニアのVineeta Sangarajuは述べました。
「攻撃者の洗練度と悪用までの時間に関する従来のリスクモデルの仮定はもはや成立しません。組織は、スタックに影響を与える高重要度勧告の数日ではなく数時間以内に検出および対応する能力を構築する必要があります。ポストAIの時代では、脆弱性の可能性、スクリプトキディなどのAppSec用語の定義そのものを再定義する必要があります」とSangarajuは付け加えました。
翻訳元: https://www.securityweek.com/hackers-targeted-praisonai-vulnerability-hours-after-disclosure/
