PraisonAIの高深刻度脆弱性は、セキュリティ研究者が公開後数時間以内に悪用の試みを観察した後、緊急の注意を集めています。
この欠陥はCVE-2026-44338として追跡され、GitHub勧告GHSA-6rmh-7xcm-cpxjに記載されており、プラットフォームのレガシーAPIサーバーの致命的な認証バイパスを露出させ、攻撃者が認証情報なしでAIワークフローを実行することを可能にする可能性があります。
PraisonAI 脆弱性
この問題はPraisonAIバージョン2.5.6から4.6.33に影響します。勧告によると、根本的な原因は、認証がデフォルトで無効になっているレガシーFlaskベースのAPIサーバーにあります。
具体的には、設定はAUTH_ENABLED = False およびAUTH_TOKEN = None をハードコードしており、すべてのアクセス制御保護を事実上削除しています。
この設計上の欠陥により、サーバーの認証チェックは常にtrueを返すため、APIにアクセスできるすべてのリモートユーザーが機密エンドポイントと対話できます。サーバーが0.0.0.0:8080にバインドされているため、この脆弱性は特に危険です。露出している場合、ネットワーク経由でアクセスできます。
攻撃者は2つの主要なエンドポイントを悪用できます:
- GET /agents – 設定されたAIエージェントに関するメタデータを取得します。
- POST /chat – agents.yaml ファイルに定義されたワークフローの実行をトリガーします。
注目すべきことに、/chat エンドポイントはmessage フィールドを含むJSONリクエストのみを必要としますが、入力自体は無視されます。代わりに、サーバーはPraisonAI(agent_file=”agents.yaml”).run()を使用して定義済みワークフローを直接実行します。
セキュリティ研究者は、認可ヘッダーなしで両方のエンドポイントが正常に応答し、HTTP 200レスポンスを返すことを確認しました。これは設定の誤りではなく、完全な認証バイパスであることを確認しています。
- 権限なしでAIワークフローをリモートで実行する。
- エージェント設定と内部メタデータを列挙する。
- APIまたはモデル使用割り当てを消費し、経済的損失につながる可能性があります。
- 機密データを含む可能性のあるバックエンドワークフローによって生成された出力にアクセスする。
この欠陥は直接プロンプトインジェクションを有効にしないものの、その影響はagents.yaml ワークフローがどのように設定されているかに大きく依存します。ワークフローが特権的なアクションを実行する環境では、リスクが大幅に増加します。
さらに問題を複雑にしているのは、PraisonAIのデプロイメント設定も安全でないデフォルトを推奨していることです。APIConfiguration モデルはデフォルトでauth_enabledをfalseに設定し、サンプルデプロイメントテンプレートは認証を無効にした状態で0.0.0.0にバインドすることを推奨しています。
新しいserve agent コマンドはlocalhost (127.0.0.1)へのバインドとAPIキーのサポートにより改善されたセキュリティを提供していますが、脆弱なレガシーサーバーはバージョン4.6.33までの本番リリースに含まれています。
脆弱性はバージョン4.6.34で修正されています。ユーザーは直ちにアップグレードすることを強く勧告します。
- ファイアウォールを使用してAPIサーバーへのネットワークアクセスを制限する。
- サービスを公開インターネットに公開しないようにする。
- 可能であれば、手動で認証メカニズムを有効にする。
- より新しい、安全なserver agents デプロイメント方法に移行する。
このインシデントは、AIプラットフォームが安全でないデフォルトで出荷され、機会主義的な攻撃者にとって魅力的なターゲットになるというより広い傾向を浮き彫りにしています。
この事件で観察された急速な悪用は、脅威行為者が新たに開示された脆弱性、特に認証が不要なものをいかに迅速に兵器化できるかを強調しています。
AIインフラをデプロイする組織は、公開されたサービスを監査し、同様のインシデントを防ぐために安全な設定を優先させる必要があります。
翻訳元: https://gbhackers.com/praisonai-vulnerability-actively-exploited/
