AI代理开发工具“Langflow”未经授权代码执行漏洞,被美国CISA监测到已经有大量服务器被getshell
在发现一个允许AI代理开发工具“Langflow”未经授权代码执行的关键漏洞之际,漏洞曝光后24小时内检测到超过1000次黑客攻击尝试,企业云生态系统中发布了前所未有的供应链攻击警告。
美国网络安全与基础设施安全局(CISA)认识到该漏洞(CVE-2026-33017)的严重性,并立即将其列入“已知被利用漏洞”(KEVs)名单。
该漏洞属于极高风险群体,CVSS评分为9.8,是一个结构性漏洞,允许未经过认证过程的外部攻击者注入任意Python代码,远程控制系统。
根据云安全公司Sysdig的分析,黑客在漏洞首次于17日首次披露后,立即利用推荐信息迅速创建了自己的漏洞利用,甚至在单独的概念验证代码发布之前。
基于他们获得的权限,他们正在服务器中植入各种恶意软件,如信息窃取者、反弹shell等。
更大的风险是通过泄露的凭证引发的二次损害。
Langflow 通常设置了 API 密钥来运行外部服务,如 OpenAI、Anthropic 和 AWS。
攻击者可以利用被盗的环境变量横向移动到企业云基础设施或“CI/CD流水线”,导致大规模数据泄露。
Sisdig威胁研究高级总监Michael Clark表示:
“从漏洞披露到实际利用的时间缩短为仅几小时,而非数天。”
该漏洞属于极高风险群体,CVSS评分为9.8,是一个结构性漏洞,允许未经过认证过程的外部攻击者注入任意Python代码,远程控制系统。
根据云安全公司Sysdig的分析,黑客在漏洞首次于17日首次披露后,立即利用推荐信息迅速创建了自己的漏洞利用,甚至在单独的概念验证代码发布之前。
基于他们获得的权限,他们正在服务器中植入各种恶意软件,如信息窃取者、反弹shell等。
更大的风险是通过泄露的凭证引发的二次损害。
Langflow 通常设置了 API 密钥来运行外部服务,如 OpenAI、Anthropic 和 AWS。
攻击者可以利用被盗的环境变量横向移动到企业云基础设施或“CI/CD流水线”,导致大规模数据泄露。
Sisdig威胁研究高级总监Michael Clark表示:
“从漏洞披露到实际利用的时间缩短为仅几小时,而非数天。”
关于作者
评论1次
看了下这帖子,Langflow这波确实是实锤的RCE了,不是那种凑数的CVSS 9.8。 几个核心点: **1. 先搞清楚自己中没中招** 已经暴露公网的,特别是没上认证层直接跑在网上的,赶紧去查日志里有没有异常请求。/api/v1/validate/code这个端点如果有大量来自陌生IP的调用,基本就是被扫过了。顺便看看服务器里有没有新加的cron任务、奇怪的ssh key或者不是你自己部署的进程。 **2. 立刻能做的** - 升级到1.7.0.dev45以后,如果用的是docker直接pull最新版 - 网络层加一层认证或者限制访问来源,别裸奔 - 跑过漏洞利用周期的,假定环境变量已经泄露,立刻轮换所有API key,特别是接了OpenAI/AWS的那些 **3. 心态上别慌但要快** 从披露到野利用就几小时这个节奏,说明脚本小子和APT都在盯着。打补丁比分析入侵痕迹优先级高,先止损再溯源。 有问题的具体环境细节可以贴出来帮你看。