北京
美國(guó)網(wǎng)絡(luò)安全局CISA在3月25日把CVE-2026-33017塞進(jìn)"已知被利用漏洞"名單,給這款開源AI工具貼上紅色標(biāo)簽。Langflow本是幫企業(yè)搭多智能體工作流的低代碼平臺(tái),現(xiàn)在成了攻擊者的免費(fèi)入口。
漏洞本身很直白:不需要賬號(hào)就能往工作流里塞惡意代碼。官方記錄顯示,遠(yuǎn)程攻擊者可以"構(gòu)建并執(zhí)行公開流程,無(wú)需任何有效憑證"。換句話說(shuō),你的AI管道對(duì)全網(wǎng)開放,連敲門磚都不用。
問(wèn)題出在三個(gè)連環(huán)失誤——代碼生成沒(méi)管控、注入指令沒(méi)過(guò)濾、關(guān)鍵功能沒(méi)鑒權(quán)。攻擊者得手后能篡改數(shù)據(jù)流、偷走模型里的敏感信息,再順勢(shì)跳進(jìn)內(nèi)網(wǎng)。Langflow作為連接大模型、數(shù)據(jù)庫(kù)和API的樞紐,一旦被擊穿,下游全崩。
CISA給聯(lián)邦機(jī)構(gòu)下了死線:4月8日前必須修完。企業(yè)管理員也被催著立刻打補(bǔ)丁。有安全研究員在社媒吐槽,這類開發(fā)工具的未授權(quán)訪問(wèn)漏洞,向來(lái)是入侵者的"首選落腳點(diǎn)"——比直接攻防火墻省事多了。
目前尚不清楚該漏洞是否已被用于勒索軟件攻擊,但CISA的緊急入庫(kù)本身說(shuō)明戰(zhàn)場(chǎng)正在轉(zhuǎn)移。AI基礎(chǔ)設(shè)施不再是邊緣靶子,而是主陣地。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
