Langflow の CSV Agent ノードの重大な脆弱性は、プロンプトインジェクションを通じてサーバーをリモートコード実行(RCE)にさらします。
この脆弱性により、攻撃者は任意のPythonおよびOSコマンドを実行でき、サーバーの完全な制御を獲得できます。
Langflowは大規模言語モデル(LLM)を使用してAIワークフローを構築します。その CSV Agent は、ChatInput → CSVAgent → ChatOutput などのフローで、CSV データのクエリ、要約、操作を処理します。ユーザーは、エージェント駆動のタスク用に LLM と CSV ファイル パスをリンクします。
根本原因は src/lfx/src/lfx/components/langchain_utilities/csv_agent.py にあります。エージェントはハードコードされた設定で初期化されます:
これにより、LangChainの python_repl_ast ツールがデフォルトで有効になります。攻撃者は次のようなプロンプトを注入します:
サーバーはそれを直接実行し、/tmp/pwned を作成して RCE を確認します。UI トグルまたは環境変数によってこれをブロックするものはありません。
リモート攻撃者は RCE をトリガーするためにチャットアクセスのみが必要です。これにより データ盗難、マルウェアの展開、またはサーバーの乗っ取りが可能になります。AI/ML パイプラインの Langflow ユーザーは、特に公開されているインスタンスの場合、高リスクに直面しています。
パッチを超えた軽減策は存在しません。このアドバイザリは、デフォルトで allow_dangerous_code=False を設定するか、UI トグルを追加する(デフォルト:False)ことを勧めています。
この欠陥は LLM エージェントのリスクを強調しています。開発者はハードコードされた危険なデフォルト設定を避ける必要があります。
翻訳元: https://cyberpress.org/langflow-ai-csv-agent-flaw/