PraisonAI CVE-2026-44338: обход аутентификации использовали в первые часы

Коллеги, хочу обратить внимание в сфере кибербезопасности: уязвимость PraisonAI (CVE-2026-44338) подверглась сканированию и целевым запросам в первые часы после публикации.
- Суть: legacy Flask-сервер поставляется с AUTH_ENABLED=False — GET /agents возвращает agent_file: agents.yaml без токена.
- Наблюдения: Sysdig зафиксировал сканирование через 3 ч 44 мин; баг сообщил исследователь Shmulik Cohen; патч в версии 4.6.34.
- Риски: запуск workflow через /chat, утечка результатов PraisonAI.run(), неавторизованное потребление квот.
Почему это важно: окно между раскрытием и эксплуатацией измеряется часами — обновите версии, проверьте развёртывания и ротируйте токены.
Какие меры Вы уже внедрили для защиты AI-агентов?
#кибербезопасность #API #AI #уязвимости


Последние комментарии
Комментариев пока нет.