Flowise 1.2万台服务器裸奔

12,000多台企业AI服务器，被一个评分10.0的漏洞钉在墙上。攻击者甚至懒得换IP——全部流量来自同一个星链地址。

这不是演习。VulnCheck监测到，开源AI平台Flowise的CVE-2025-59528漏洞已进入主动利用阶段。

CVSS 10.0意味着满分危险。该漏洞藏在Flowise的CustomMCP节点里：用户配置外部MCP（模型上下文协议）服务器时，系统会解析一段JSON字符串。问题在于，这段字符串里的JavaScript代码会被直接执行，没有任何沙箱或校验。

Flowise在2025年9月的公告里写得直白：「攻击者只需一个API token，就能获得完整的Node.js运行时权限。」child_process模块随手调用，文件系统任意读取，命令执行如入无人之境。

发现该漏洞的安全研究员Kim SooHyun，大概没想到自己的报告会等到六个月后才被大规模利用。

星链IP的"裸奔"攻击

VulnCheck的监测数据揭示了攻击者的傲慢。所有探测和攻击流量，全部来自同一个Starlink IP地址。没有代理池轮换，没有Tor网络隐藏，仿佛在说"你们反正修不好"。

Caitlin Condon，VulnCheck安全研究副总裁，在接受The Hacker News采访时点出了尴尬现实：「这个漏洞已经公开超过六个月，防御者有充足时间修补。但12,000多台暴露实例的攻击面，让攻击者的 opportunistic reconnaissance（机会性侦察）变得异常轻松。」

换句话说，不是攻击技术多高超，是靶子太多、修靶子的人太少。

Flowise的npm包在3.0.6版本已修复该问题。但版本号不会自动升级，企业IT的待办清单里，安全补丁的优先级往往排在"让CEO的PPT更好看"之后。

Flowise的"三连击"黑历史

CVE-2025-59528并非孤例。这是Flowise第三个被证实野外利用的漏洞：

• CVE-2025-8943（CVSS 9.8）：操作系统命令远程代码执行
• CVE-2025-26319（CVSS 8.9）：任意文件上传
• CVE-2025-59528（CVSS 10.0）：代码注入致RCE

分数一个比一个高，利用一个比一个简单。Flowise作为开源AI Agent构建平台，被大量企业用于快速搭建大模型应用——低代码的便利，换来了高风险的敞口。

CustomMCP节点的设计初衷是灵活连接外部工具。开发者想要"配置即生效"，产品经理想要"零门槛上手"，安全团队想要的输入校验和代码隔离，在OKR的优先级排序里默默沉底。

这种张力在AI基础设施领域反复上演：功能迭代速度 vs 安全加固深度，前者永远赢家通吃。

API Token：被低估的"万能钥匙"

Flowise公告里那句"仅需API token即可利用"，值得所有用开源AI平台的人多看两眼。

很多团队的API token管理，还停留在"谁需要谁复制"的阶段。没有定期轮换，没有权限细分，没有调用审计。一个离职员工的Slack记录里，可能躺着能直接接管生产环境的凭证。

CVE-2025-59528的利用链条短得可怕：拿到token → 构造恶意mcpServerConfig → 服务器沦陷。不需要钓鱼，不需要社工，不需要绕过WAF。HTTP请求里藏一段JavaScript，等Node.js替你执行。

child_process和fs模块的调用权限，在Node.js生态里属于"核武器级"。正常业务代码需要谨慎申请，漏洞利用场景下却随手可得。

12,000台暴露实例：攻击者的"自助餐"

Shodan或类似扫描工具能轻松定位这些暴露的Flowise实例。它们分布在云平台、裸金属服务器、甚至某些"为了调试方便"打开的本地环境。

攻击者的成本收益比极其划算：一个星链IP的月费，换潜在数千台服务器的初始访问权限。加密货币挖矿、数据勒索、供应链投毒——后续变现路径成熟得像SOP。

Condon的警告没有夸张：「这对业务连续性和客户数据构成极端风险。」当AI Agent被部署来处理敏感业务逻辑时，其底层平台的沦陷意味着攻击者可以篡改模型输出、窃取训练数据、或向下游系统注入恶意指令。

想象一个金融客服Agent被劫持后，向用户推荐"官方安全钱包地址"的场景。

Flowise 3.0.6的补丁早已发布，但版本分布数据不会说谎。开源软件的"自由"包括"自由地被遗忘在旧版本里"，直到成为攻击统计里的一个数字。

你的Flowise实例，上次检查版本号是什么时候？