Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
secnews.gr · 2T SIDEN · sikkerhet

Tredje PraisonAI-sårbarhet på to måneder: prompt-injeksjon gir kodekjøring, 10 av 10 på CVSS

SYNOPSIS_GENERERT

CVE-2026-61447 lar en angriper bruke prompt-injeksjon til å kjøre vilkårlig Python på verten som kjører PraisonAI, og NVD gir den 10,0 av 10. Rettet i 1.6.78.

En angriper som får styre hva språkmodellen skriver, kan kjøre vilkårlig Python på maskinen som kjører PraisonAI. Det er kjernen i CVE-2026-61447, publisert 11. juli og scoret 10,0 av 10 av NVD, den høyeste verdien skalaen har. Feilen ligger i CodeAgent._execute_python(), som ifølge NVD kjører kode fra modellen «uten AST-validering, import-restriksjoner eller sandkasse». NVD oppgir 1.6.78 som første rettede versjon, og hullet er klassifisert som CWE-94.

Angrepet krever hverken innlogging eller at et menneske klikker på noe. Vektoren er nettverk, kompleksiteten er lav, og angriperen kan lese ut miljøvariablene til prosessen. Kjører agenten din med API-nøkler i miljøet, som de fleste gjør, er nøklene å regne som tapt i samme øyeblikk.

Dette er tredje kritiske hull i PraisonAI på to måneder, og de tre danner et mønster. I mai gikk CVE-2026-44338 på at rammeverket ikke sjekket hvem som kalte det, og Sysdig så skannere sondre eksponerte instanser under fire timer etter at varselet ble offentlig. Denne uken kom CVE-2026-60090, der en streng der det skulle stått et tall havnet rett i en CREATE TABLE-setning. Nå viser CVE-2026-61447 at rammeverket heller ikke sjekker koden modellen selv produserer. Autentisering, input og modelloutput: tre lag der tilliten er satt for høyt.

For alle som bygger på agent-rammeverk er poenget større enn PraisonAI: prompt-injeksjon er ikke lenger bare et spørsmål om at modellen sier noe dumt. Når modellens output mates rett inn i en kodekjører, blir injeksjonen en helt vanlig fjernkjøringssårbarhet, og «angriperen» kan være en nettside agenten din leser.

Hva bør du gjøre?

  1. Oppgrader til PraisonAI 1.6.78 eller nyere før du gjør noe annet.
  2. Sperr agenter som bruker CodeAgent fra å nå utrusted innhold, og la dem aldri kjøre eksponert mot internett uten et lag foran.
  3. Roter API-nøkler og tokens som har ligget i miljøet til en eksponert instans, og gå gjennom loggene for uventet Python-kjøring.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN