北京
分享至
美国网络安全局CISA在3月25日把CVE-2026-33017塞进"已知被利用漏洞"名单,给这款开源AI工具贴上红色标签。Langflow本是帮企业搭多智能体工作流的低代码平台,现在成了攻击者的免费入口。
漏洞本身很直白:不需要账号就能往工作流里塞恶意代码。官方记录显示,远程攻击者可以"构建并执行公开流程,无需任何有效凭证"。换句话说,你的AI管道对全网开放,连敲门砖都不用。
问题出在三个连环失误——代码生成没管控、注入指令没过滤、关键功能没鉴权。攻击者得手后能篡改数据流、偷走模型里的敏感信息,再顺势跳进内网。Langflow作为连接大模型、数据库和API的枢纽,一旦被击穿,下游全崩。
CISA给联邦机构下了死线:4月8日前必须修完。企业管理员也被催着立刻打补丁。有安全研究员在社媒吐槽,这类开发工具的未授权访问漏洞,向来是入侵者的"首选落脚点"——比直接攻防火墙省事多了。
目前尚不清楚该漏洞是否已被用于勒索软件攻击,但CISA的紧急入库本身说明战场正在转移。AI基础设施不再是边缘靶子,而是主阵地。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
