Tre timer og 44 minutter. Det var alt som skilte NIST-varselet fra første treff, da en skanner som kalte seg «CVE-Detector/1.0» begynte å sondre internett-eksponerte PraisonAI-instanser, melder sikkerhetsselskapet Sysdig.
Hullet selv er enkelt. PraisonAI er et multi-agent-rammeverk, og versjon 2.5.6 til 4.6.33 ble levert med en eldre Flask API-server der autentisering var slått av som standard. Hvem som helst som når serveren, kan lese agentmetadata via /agents og trigge agents.yaml-arbeidsflyten via /chat uten token. Det er ikke kjøring av vilkårlig kode i seg selv, men taket for skade er det arbeidsflyten din får lov til å gjøre: LLM-kall, kodetolkere, shell-tilgang, fil-I/O.
Skanneren nøyde seg med å enumerere agentlisten og bekrefte at forbikoblingen virket. To runder, åtte minutter fra hverandre, rundt 70 forespørsler hver. Ingen treff mot /chat. Det er rekognosering: kartlegg hvilke verter som er sårbare, logg dem, kom tilbake med egne verktøy senere.
For deg som kjører agent-rammeverk selv er poenget tidsvinduet. Sysdig og Black Duck peker på det samme: KI-assistert verktøy lar angripere gå fra varsel til fungerende sondering på timer, ikke dager. Sjekker du om noe i stacken din er eksponert «når du får tid», er du allerede for sen. Oppdater til 4.6.34, og hvis den gamle Flask-serveren er i bruk: steng den av nett eller skru på autentisering nå.