Недавно обнаруженная уязвимость обхода аутентификации в проекте с открытым исходным кодом для оркестровки ИИ PraisonAI была проверена интернет-сканерами менее чем через четыре часа после ее публичного раскрытия.
По наблюдениям Sysdig, примерно через три часа и 44 минуты после публикации предупреждения на GitHub сканер, идентифицирующий себя как «CVE-Detector/1.0», уже искал уязвимые конечные точки в открытых экземплярах PraisonAI.
Ошибка связана с устаревшим компонентом сервера API на базе Flask — «src/praisonai/api_server.py» в PraisonAI, который поставлялся с отключенной по умолчанию аутентификацией. Проблема затрагивает версии с 2.5.6 по 4.6.33 и устранена в версии 4.6.34.
«Отключение аутентификации по умолчанию в сервере API уровня разработки — это известный антипаттерн, и радиус его поражения ограничен теми разрешениями, которые оператор предоставил рабочему процессу агента», — заявил Трей Форд, директор по стратегии и доверию в Bugcrowd. «Любая организация, которая ускорила внедрение агентов ИИ без аудита привязки к сети, настроек аутентификации по умолчанию и раскрытия учетных данных в конфигурационных файлах агентов, теперь сталкивается с риском, который она, вероятно, не оценила».
Sysdig сообщила, что предупреждение GitHub было опубликовано около 13:56 UTC 11 мая, а сканирование началось в 17:40 UTC.
Аутентификация была отключена по умолчанию
Sysdig заявила, что уязвимым компонентом был устаревший сервер API PraisonAI, где механизмы аутентификации были фактически отключены по замыслу. Исследователи отметили, что любой доступный вызывающий абонент мог взаимодействовать с рабочими процессами агентов без действительных токенов.
«PraisonAI поставляется с устаревшим сервером API на базе Flask, в котором жестко прописаны значения ‘AUTH_ENABLED = False’ и ‘AUTH_TOKEN = None’», — заявили исследователи Sysdig в посте в блоге. «Вспомогательная функция check_auth() возвращает True всякий раз, когда аутентификация отключена, поэтому два «защищенных» маршрута по умолчанию открыты».
Уязвимость, отслеживаемая как CVE-2026-44338, получила оценку серьезности CVSS 7.3 из 10, но считается срочной, учитывая, что злоумышленники уже ищут способы ее эксплуатации. «Любой сервис ИИ, доступный из Интернета, следует рассматривать как производственный актив с контролем аутентификации, сетевой сегментации и мониторинга», — сказала Винита Сангараджу, инженер-исследователь ИИ в Black Duck, призывая организации немедленно установить исправления.
Исследователи Sysdig отметили, что первоначальный разведывательный трафик поначалу выглядел общим, нацеленным на распространенные пути, открытые в Интернете, такие как /./.env и /admin. Однако через несколько минут сканер переключился на специфические для PraisonAI конечные точки, включая «/praisonai/version.txt», «/docs», «/api/agents/config» и «/api/agents».
Исследователи предупредили, что успешная эксплуатация может привести к серьезным взломам. «Сам обход не является произвольным выполнением кода», — заявили они. «Но поскольку он устраняет аутентификацию из триггера рабочего процесса, который оператор намеренно открыл для выполнения полезной функции, потолок воздействия — это все, что разрешено делать этому рабочему процессу».
Меры по снижению рисков и рекомендации
Sysdig настоятельно рекомендовала организациям немедленно обновиться до версии PraisonAI 4.6.34 или новее, которая устраняет уязвимое поведение устаревшего API и вводит более надежные механизмы защиты аутентификации.
Исследователи также посоветовали полностью прекратить использование устаревшей точки входа «api_server.py», отметив, что открытые экземпляры, работающие на старых конфигурациях, остаются уязвимыми для попыток неаутентифицированного доступа.
Для поддержки усилий по обнаружению защитникам было рекомендовано отслеживать запросы, содержащие строку пользовательского агента «CVE-Detector/1.0», а также подозрительные запросы к /agents, /chat, /api/agents и связанным конечным точкам MCP. «Пока обновление невозможно, мониторинг на уровне сети чисто отлавливает этот класс трафика, поскольку обход не оставляет сигнала об отсутствии аутентификации в логах приложения», — отметили исследователи.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
