敵対者は、重大なセキュリティ欠陥の公開からわずか4時間以内に、脆弱なPraisonAIノードに対する標的型偵察キャンペーンを開始しました。CVE-Detector/1.0として識別される自動スキャンエンティティは、警告が表面化した直後にプラットフォームの露出したインスタンスに対する攻撃を開始し、Sysdigの脅威インテリジェンス分析者はこの速度を人工知能フレームワークへの侵入に関する現代的なパラダイムとして特徴付けています。
建築上の脆弱性は、GitHubで7,000以上のスターを獲得している自律型AIエージェント向けのオープンソースオーケストレーターであるPraisonAI内で発見されました。この欠陥にはCVE-2026-44338の識別子が割り当てられています。セキュリティ欠陥はレガシーサーバコンポーネントapi_server.py内に存在し、開発者が意図的にデフォルトで認証メカニズムを無効化していました。この構造的な構成により、認証されていない任意のアクターが有効なベアラートークンなしに2つの制限されたエンドポイントルートをクエリできました。
侵害されたパスを標的とした最初のリクエストはGitHub上での公開からちょうど3時間44分後に具体化しました。スキャンメカニズムは最初に/.envと/adminなどの従来の構成ファイルと管理ポータルを列挙し、その後、PraisonAIフレームワークに明示的にリンクされたルートにフォーカスをシフトさせました。特に重要なのは/agents、/api/agents、/api/tasksです。
GitHubは2026年5月11日13:56 UTCにセキュリティアドバイザリを公開しました。17:40 UTCまでに、SysdigのテレメトリーはIPアドレス146.190.133.49から発信されるGET /agentsリクエストをキャプチャしており、User-Agent: CVE-Detector/1.0ヘッダーを介して通信していました。ホストサーバは200 OKステータスでリクエストを裁定し、細粒度のエージェント構成メタデータを放出し、欠陥の成功した悪用を検証しました。
CVE-2026-44338の主要な脅威プロファイルは、従来の任意のコード実行よりも、自律型エージェントワークフローの不正な起動にあります。悪意のあるPOST /chatリクエストは、送信メッセージペイロードに関係なく、ホストのagents.yamlブループリント内で描かれた実行ロジックをトリガーします。システム管理者がこれらのエージェントにコマンドラインの実行、ファイルシステムの変更、ネットワークソケットリクエスト、外部APIとの統合などの低レベルの権限を付与していた場合、侵入者は実質的にそれらの同一の機能に対するリモートマスタリーを獲得します。
Sysdigは、これらの日和見的なキャンペーンが広範なイベントにエスカレートしていると報告しています。Marimo、LMDeploy、Langflow内の設計欠陥の公開に続いて、同様の高速スキャンが以前に文書化されていました。分析者はこの加速した脅威ライフサイクルを敵対者自身による人工知能の統合に起因すると考えており、専門モデルを活用してコードパッチを急速に解析し、根本原因エラーを分離し、数分以内に武装化されたエクスプロイトを合成しています。
この脆弱性はバージョン2.5.6からバージョン4.6.33までのPraisonAIバージョンに影響を与え、バージョン4.6.34で決定的な修正が導入されました。重要なことに、アドバイザリーの公開時点では、PyPIパッケージリポジトリでホストされている最大利用可能リリースはバージョン4.6.33でしたが、これにより、すべての能動的な本番環境デプロイメントが即座の悪用に対して一時的に無防備になりました。
偵察フェーズ中に、スキャンアセットは実行中のソフトウェアイテレーションを正確にフィンガープリントするために、pyproject.toml、poetry.lock、praisonai/version.txtなどの構成マニフェストも調査しました。さらに、脅威アクターは、Model Context Protocol(MCP)デーモンおよび基盤となるAIエージェントによって使用される内部ツールリポジトリに関連するパスを積極的に探索していました。
Sysdigは、管理者にPraisonAIインストールをバージョン4.6.34以降にアップグレードし、レガシーapi_server.pyモジュールの使用を廃止し、ポート8080をパブリックインターネットに直接公開することをやめるよう強く求めています。さらに、サーバ管理者はCVE-Detector/1.0ユーザーエージェント文字列のアクセスログを監査し、agents.yaml内で列挙されたすべての運用キーをローテーションし、2026年5月11日以降のOpenAI、Anthropic、および関連する基盤モデルベンダーのAPI消費トークンの厳格な請求監査を実施することをお勧めします。
