
Langflow 漏洞入 CISA KEV,自架 AI agent 工具要即刻補
三日限期只管美國聯邦機構,但對外開放嘅 AI flow 一樣要查
CISA 點解咁急
CISA 喺 7 月 7 日將 Langflow 嘅 CVE-2026-55255 加入 KEV,意思係當局已掌握有人實際利用嘅證據。iThome 報道,美國聯邦機構要喺 7 月 10 日前處理,得三日時間。呢條線唔係香港公司嘅法定限期,但 KEV 唔係普通 CVSS 分數榜;入得呢個表,通常代表漏洞已經由「理論上危險」變成「街外有人試緊打」。
問題唔止係一個 API 位
Langflow 係開源圖像化工具,畀團隊砌 LLM、RAG 同 agent flow,常見用法係接模型、向量資料庫、文件庫同 API,再包成內部 chatbot 或自動化任務。今次漏洞核心唔係模型答錯,而係權限檢查穿咗窿:有登入身份嘅攻擊者,如果拎到另一個用戶嘅 flow ID,就可能叫 server 執行嗰條 flow。
麻煩嘅位係,AI flow 唔淨係幾句 prompt。好多公司會放 token、資料庫連線、SaaS connector、內部文件索引喺同一套環境,方便啲同事一撳就用。攻擊者未必要拎到整部機嘅 shell,只要借到你條 flow 嘅身份去跑,就有機會摸到本來只畀呢條 flow 用嘅資料同外部服務配額。
CVSS 分數改咗,但修補優先級唔應該降
值得留意嘅位係,分數同真實風險未必同步。iThome 報道引述 GitHub advisory 當時列 CVSS 9.9;NVD 而家嘅頁面又見到 GitHub/CNA 分數改成 8.4,分析欄亦仲喺更新。防守方嚟講,呢種跳數唔應該拖慢修補,因為 CISA KEV 同 Sysdig 觀察到嘅攻擊,已經夠你擺上高優先級。
版本方面,Langflow 官方 GitHub advisory 而家列明受影響範圍係 1.9.1 之前,修補版係 1.9.1 或以上;v1.9.1 release note 亦列出關閉呢個 IDOR 嘅 security fix。實務上唔好只睇掃描器話「已修」,要核對你跑緊嘅 PyPI package、Docker image 同部署 tag,尤其係之前為咗 demo 方便而長開喺 Internet 上嘅 instance。
自架團隊要即刻做咩
如果你公司有自架 Langflow,第一步係升級,起碼去到 1.9.1,保守啲就升到你驗證過嘅最新穩定版。跟住收窄入口:UI 同 API 唔好直接對外,收喺 VPN、SSO、IP allowlist 或反向代理驗證後面。再查 6 月下旬起嘅 access log,睇有冇異常登入、有冇人異常大量讀 flow 清單、陌生 API key 觸發 responses 類請求;有懷疑就 rotate model key、SaaS token 同內部資料庫憑證。
今次真正提醒係,low-code AI builder 唔可以當玩具 server。佢哋外表似畫方塊,背後其實係一堆可以代你叫 API、讀文件、觸發任務嘅程式路徑;權限一鬆,攻擊者唔使懂你業務,都可以沿住 flow 搵 token 同資料。中小企 IT 最易中伏,因為 POC 做得快,收口、分權、log retention 往往追唔上。
所以,唔好當 CISA 三日限期「唔關我事」。法律上,呢個限期主要係管美國聯邦機構;但對工程團隊嚟講,KEV 已經係好清楚嘅風險提示。凡係多人共用 Langflow、AI flow 接到公司資料或第三方服務嘅團隊,今日就應該排補丁、查 log、換 key,唔好等下一個 alert 先醒。
參考來源
- iThome — CISA要求聯邦機構3天內修補Langflow重大漏洞 — original report
- CISA Adds Three Known Exploited Vulnerabilities to Catalog — 確認 2026-07-07 公告批次,同 CVE-2026-55255 已入 KEV。
- CISA Known Exploited Vulnerabilities Catalog JSON — 核對 CVE-2026-55255 dateAdded、dueDate、requiredAction 同 CWE。
- Langflow GitHub Security Advisory GHSA-qrpv-q767-xqq2 — 官方 advisory,核對受影響版本、修補版本同漏洞性質。
- NVD - CVE-2026-55255 Detail — 核對 NVD reanalysis、CVSS/CWE 同 CISA KEV 狀態。
- Understanding Langflow CVE-2026-55255 | Sysdig — 補背景:6 月 25 日觀察到利用跡象,同舊 RCE 漏洞對比。
- Langflow v1.9.1 Release Notes — 核對 v1.9.1 release note 入面有關閉 IDOR 嘅修補項。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







