Langflow 漏洞入 CISA KEV,自架 AI agent 工具要即刻補
Tech News

Langflow 漏洞入 CISA KEV,自架 AI agent 工具要即刻補

圖片:via iThome — https://www.ithome.com.tw/news/177157
TechLab 編輯部(譯)·

三日限期只管美國聯邦機構,但對外開放嘅 AI flow 一樣要查

CISA 點解咁急

CISA 喺 7 月 7 日將 Langflow 嘅 CVE-2026-55255 加入 KEV,意思係當局已掌握有人實際利用嘅證據。iThome 報道,美國聯邦機構要喺 7 月 10 日前處理,得三日時間。呢條線唔係香港公司嘅法定限期,但 KEV 唔係普通 CVSS 分數榜;入得呢個表,通常代表漏洞已經由「理論上危險」變成「街外有人試緊打」。

問題唔止係一個 API 位

Langflow 係開源圖像化工具,畀團隊砌 LLM、RAG 同 agent flow,常見用法係接模型、向量資料庫、文件庫同 API,再包成內部 chatbot 或自動化任務。今次漏洞核心唔係模型答錯,而係權限檢查穿咗窿:有登入身份嘅攻擊者,如果拎到另一個用戶嘅 flow ID,就可能叫 server 執行嗰條 flow。

麻煩嘅位係,AI flow 唔淨係幾句 prompt。好多公司會放 token、資料庫連線、SaaS connector、內部文件索引喺同一套環境,方便啲同事一撳就用。攻擊者未必要拎到整部機嘅 shell,只要借到你條 flow 嘅身份去跑,就有機會摸到本來只畀呢條 flow 用嘅資料同外部服務配額。

CVSS 分數改咗,但修補優先級唔應該降

值得留意嘅位係,分數同真實風險未必同步。iThome 報道引述 GitHub advisory 當時列 CVSS 9.9;NVD 而家嘅頁面又見到 GitHub/CNA 分數改成 8.4,分析欄亦仲喺更新。防守方嚟講,呢種跳數唔應該拖慢修補,因為 CISA KEV 同 Sysdig 觀察到嘅攻擊,已經夠你擺上高優先級。

版本方面,Langflow 官方 GitHub advisory 而家列明受影響範圍係 1.9.1 之前,修補版係 1.9.1 或以上;v1.9.1 release note 亦列出關閉呢個 IDOR 嘅 security fix。實務上唔好只睇掃描器話「已修」,要核對你跑緊嘅 PyPI package、Docker image 同部署 tag,尤其係之前為咗 demo 方便而長開喺 Internet 上嘅 instance。

自架團隊要即刻做咩

如果你公司有自架 Langflow,第一步係升級,起碼去到 1.9.1,保守啲就升到你驗證過嘅最新穩定版。跟住收窄入口:UI 同 API 唔好直接對外,收喺 VPN、SSO、IP allowlist 或反向代理驗證後面。再查 6 月下旬起嘅 access log,睇有冇異常登入、有冇人異常大量讀 flow 清單、陌生 API key 觸發 responses 類請求;有懷疑就 rotate model key、SaaS token 同內部資料庫憑證。

今次真正提醒係,low-code AI builder 唔可以當玩具 server。佢哋外表似畫方塊,背後其實係一堆可以代你叫 API、讀文件、觸發任務嘅程式路徑;權限一鬆,攻擊者唔使懂你業務,都可以沿住 flow 搵 token 同資料。中小企 IT 最易中伏,因為 POC 做得快,收口、分權、log retention 往往追唔上。

所以,唔好當 CISA 三日限期「唔關我事」。法律上,呢個限期主要係管美國聯邦機構;但對工程團隊嚟講,KEV 已經係好清楚嘅風險提示。凡係多人共用 Langflow、AI flow 接到公司資料或第三方服務嘅團隊,今日就應該排補丁、查 log、換 key,唔好等下一個 alert 先醒。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook