TLDR : 一个关键漏洞已在Langflow中被发现,这是一种开源的AI代理创建平台,允许无需身份验证的远程代码执行。该漏洞现已在1.3.0版本中修复,并被CISA添加到其已知被利用漏洞目录中,建议立即更新。
Horizon3.ai的研究人员在Langflow中发现了一个关键漏洞,这是一种开源的AI代理链设计平台。该漏洞的参考代码为CVE-2025-3248,允许通过一个无需身份验证的端点进行远程代码执行(Remote Code Execution)。问题出在直接对用户提交的代码使用
exec()函数,而没有进行隔离或过滤。虽然在1.3.0版本中已修复,美国网络安全和基础设施安全局(CISA)于5月5日将其加入了其已知被利用漏洞目录(KEV)中,基于其被积极利用的证据。Langflow成立于2020年,并于2024年被DataStax收购,它提供了一个可视化界面,允许从语言模型、API和数据库中创建复杂的AI代理和工作流。这个开源的低代码工具面向希望快速创建生成应用的开发者,同时保持对技术组件的细粒度控制。该平台的引擎基于LangChain链,这解释了它在RAG(检索增强生成)和多代理项目中的受欢迎程度。
为了允许组件的自定义扩展,Langflow公开了一个代码验证端点“/api/v1/validate/code”。这个机制旨在方便用户脚本的测试,但它依赖于通过
exec()直接执行Python代码,没有访问控制或安全环境(sandboxing)。结果是一个关键漏洞:简单的HTTP请求即可在无需身份验证的情况下控制底层服务器。这个漏洞由Horizon3.ai的进攻性研究团队揭示,他们专注于主动漏洞检测,被评为关键,CVSS(通用漏洞评分系统)评分为9.8/10。详细的发布不仅揭示了该缺陷,并提供了一个可访问的概念验证,使风险对于广泛的技术受众变得具体且易懂。
建议措施
在发布后,CISA发出安全警告,建议政府机构和企业立即更新到3月31日发布的1.3.0版本,之前的版本可能会被任意代码注入。
Horizon3.ai的研究人员指出,超过500个Langflow实例暴露在互联网上,他们强调:
“通常情况下,我们建议对最近开发的AI工具的互联网暴露保持谨慎。如果您必须对外暴露,考虑将其放在一个隔离的VPC中和/或放在SSO后面。只需要在云实例上进行一次这些工具的部署,违规就可能发生。”
Pour mieux comprendre
Langflow工具的主要链使用什么,为什么在RAG项目中受欢迎?
Langflow使用LangChain作为其平台的引擎,非常适合RAG(检索增强生成)项目,因为它允许无缝集成语言模型、API和数据库,以创建复杂的AI代理。
CISA的已知利用漏洞(KEV)目录是什么及其作用是什么?
CISA的KEV目录是一个活跃利用的安全漏洞的官方注册表。其作用是集中并突出这些关键缺陷,以通知和建议机构和公司优先实施补丁以加强其网络安全。