En angriper som får styre hva språkmodellen skriver, kan kjøre vilkårlig Python på maskinen som kjører PraisonAI. Det er kjernen i CVE-2026-61447, publisert 11. juli og scoret 10,0 av 10 av NVD, den høyeste verdien skalaen har. Feilen ligger i CodeAgent._execute_python(), som ifølge NVD kjører kode fra modellen «uten AST-validering, import-restriksjoner eller sandkasse». NVD oppgir 1.6.78 som første rettede versjon, og hullet er klassifisert som CWE-94.
Angrepet krever hverken innlogging eller at et menneske klikker på noe. Vektoren er nettverk, kompleksiteten er lav, og angriperen kan lese ut miljøvariablene til prosessen. Kjører agenten din med API-nøkler i miljøet, som de fleste gjør, er nøklene å regne som tapt i samme øyeblikk.
Dette er tredje kritiske hull i PraisonAI på to måneder, og de tre danner et mønster. I mai gikk CVE-2026-44338 på at rammeverket ikke sjekket hvem som kalte det, og Sysdig så skannere sondre eksponerte instanser under fire timer etter at varselet ble offentlig. Denne uken kom CVE-2026-60090, der en streng der det skulle stått et tall havnet rett i en CREATE TABLE-setning. Nå viser CVE-2026-61447 at rammeverket heller ikke sjekker koden modellen selv produserer. Autentisering, input og modelloutput: tre lag der tilliten er satt for høyt.
For alle som bygger på agent-rammeverk er poenget større enn PraisonAI: prompt-injeksjon er ikke lenger bare et spørsmål om at modellen sier noe dumt. Når modellens output mates rett inn i en kodekjører, blir injeksjonen en helt vanlig fjernkjøringssårbarhet, og «angriperen» kan være en nettside agenten din leser.
Hva bør du gjøre?
- Oppgrader til PraisonAI 1.6.78 eller nyere før du gjør noe annet.
- Sperr agenter som bruker
CodeAgentfra å nå utrusted innhold, og la dem aldri kjøre eksponert mot internett uten et lag foran. - Roter API-nøkler og tokens som har ligget i miljøet til en eksponert instans, og gå gjennom loggene for uventet Python-kjøring.